2020年1月3日,已经监测到mongo-express正式发布了漏洞级别高的CVE-2019-10758漏洞警告。 目前,在Github上的MongoDB管理界面中,mongo-express的用户数量应该更多。 我们认为漏洞级别很高,危害/影响很大。 建议mongo-express用户及时更新以避免黑客入侵。
漏洞详情
此软件包的受影响版本容易受到使用toBSON方法的端点通过远程执行代码(RCE)攻击的攻击。 在非安全环境中滥用vm依赖关系来执行exec命令。 默认用户名是admin,密码是pass。
受影响的版本
mongo-express,版本0.54.0及更低版本
不受影响的版本
mongo-express 0.54.0或更高版本。