中危 MongoDB未授权弱口令访问漏洞
CVE编号
N/A利用情况
漏洞武器化补丁情况
缓解措施披露时间
2019-05-05漏洞描述
开启MongoDB服务后,如不添加任何参数,默认是没有权限验证的。登录的用户可以通过默认端口无需密码对数据库进行任意操作(包括增、删、改、查等高危动作),而且可以远程访问数据库。MongoDB数据库未授权访问漏洞,或设置弱口令,漏洞危害严重。解决建议
1)配置访问控制2)修改绑定的IP为127.0.0.13)最小化权限运行
参考链接 |
|
|---|---|
| https://help.aliyun.com/knowledge_detail/112025.html |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 越权影响
- EXP成熟度 漏洞武器化
- 补丁情况 缓解措施
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论