【漏洞预警】mongo-express远程命令执行漏洞(CVE-2019-10758)

 安全公告     |      2020-01-06 15:21:35

2020年1月3日,阿里云应急响应中心监测到国外研究人员披露CVE-2019-10758漏洞分析利用代码。利用该漏洞可以直接获取服务器权限。


漏洞描述

mongo-express是一个基于Node.js和express的开源的MongoDB Web管理界面。在小于0.54.0的版本中,在经过认证后通过访问特定接口,构造恶意请求,攻击者可以执行任意命令。由于许多mongo-express服务存在未授权访问漏洞,攻击者结合该漏洞可以直接获取服务器权限,阿里云应急响应中心提醒mongo-express用户尽快采取安全措施阻止漏洞攻击。


影响版本

mongo-express < 0.54.0


安全版本

mongo-express >= 0.54.0


安全建议

1. 升级至安全版本。

2. 开启登录验证。


相关链接

https://github.com/masahiro331/CVE-2019-10758/



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.01.03