安全公告

【漏洞预警】mongo-express远程命令执行漏洞(CVE-2019-10758)

2020-01-06 15:21:35 mimukeji

2020年1月3日,阿里云应急响应中心监测到国外研究人员披露CVE-2019-10758漏洞分析利用代码。利用该漏洞可以直接获取服务器权限。


漏洞描述

mongo-express是一个基于Node.js和express的开源的MongoDB Web管理界面。在小于0.54.0的版本中,在经过认证后通过访问特定接口,构造恶意请求,攻击者可以执行任意命令。由于许多mongo-express服务存在未授权访问漏洞,攻击者结合该漏洞可以直接获取服务器权限,阿里云应急响应中心提醒mongo-express用户尽快采取安全措施阻止漏洞攻击。


影响版本

mongo-express < 0.54.0


安全版本

mongo-express >= 0.54.0


安全建议

1. 升级至安全版本。

2. 开启登录验证。


相关链接

https://github.com/masahiro331/CVE-2019-10758/



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.01.03

本文转载自网络,如有侵权,请联系我们删除。

COPYRIGHT © 2018-2019,WWW.51MIMU.COM,ALL RIGHTS RESERVED版权所有 © 广州米姆信息科技有限公司 粤ICP备18145377号

地址:广州市天河区广园东路2191号时代新世界中心南塔21楼07、08单元 电话:020-22822863
14737363737