MongoDB 安全漏洞(CVE-2021-32050)

admin
admin
admin
0
文章
0
评论
2023-11-29 21:14:09 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 MongoDB 安全漏洞(CVE-2021-32050)

CVE编号

CVE-2021-32050

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-08-30
漏洞描述
某些MongoDB驱动程序可能会错误地将包含与认证相关的数据的事件发布到由应用程序配置的命令监听器。当执行特定的与认证相关的命令时,发布的事件可能包含安全敏感数据。 如果应用程序启用了命令监听器功能(默认情况下未启用),则可能无意中暴露此敏感信息,例如通过将其写入日志文件。此问题影响MongoDB C驱动程序 1.0.0至1.17.7之前的版本,MongoDB PHP驱动程序 1.0.0至1.9.2之前的版本,MongoDB Swift驱动程序 1.0.0至1.1.1之前的版本,MongoDB Node.js驱动程序 3.6至3.6.10之前的版本,MongoDB Node.js驱动程序 4.0至4.17.0之前的版本以及MongoDB Node.js驱动程序 5.0至5.8.0之前的版本。此问题还会影响依赖于C驱动程序 1.0.0至1.17.7之前版本(C++驱动程序之前版本为3.7.0)的MongoDB C++驱动程序用户。
解决建议
"将组件 mongodb 升级至 5.8.0 及以上版本""将组件 mongodb 升级至 4.17.0 及以上版本""将组件 mongodb 升级至 3.6.10 及以上版本""将组件 mongodb/mongo-c-driver 升级至 1.17.7 及以上版本""将组件 mongodb/mongo-cxx-driver 升级至 3.7.0 及以上版本""将组件 github.com/mongodb/mongo-swift-driver 升级至 1.1.1 及以上版本""将组件 mongodb/mongodb 升级至 1.9.2 及以上版本""将组件 https://github.com/mongodb/mongo-swift-driver 升级至 1.1.1 及以上版本""将组件 php-mongodb 升级至 1.11.1+1.9.2+1.7.5-4 及以上版本""将组件 mongo-c-driver 升级至 1.18.0-1 及以上版本"
参考链接
https://jira.mongodb.org/browse/CDRIVER-3797
https://jira.mongodb.org/browse/CXX-2028
https://jira.mongodb.org/browse/NODE-3356
https://jira.mongodb.org/browse/PHPC-1869
https://jira.mongodb.org/browse/SWIFT-1229
https://security.netapp.com/advisory/ntap-20231006-0001/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mongodb c++ * From (including) 1.0.0 Up to (excluding) 1.17.7
运行在以下环境
应用 mongodb c_driver * From (including) 1.0.0 Up to (excluding) 1.17.7
运行在以下环境
应用 mongodb node.js * From (including) 3.6 Up to (excluding) 3.6.10
运行在以下环境
应用 mongodb node.js * From (including) 4.0 Up to (excluding) 4.17.0
运行在以下环境
应用 mongodb node.js * From (including) 5.0 Up to (excluding) 5.8.0
运行在以下环境
应用 mongodb php_driver * From (including) 1.0.0 Up to (excluding) 1.9.2
运行在以下环境
应用 mongodb swift_driver * From (including) 1.0.0 Up to (excluding) 1.1.1
运行在以下环境
系统 debian_10 mongo-c-driver * Up to (including) 1.14.0-1
运行在以下环境
系统 debian_11 mongo-c-driver * Up to (including) 1.17.6-1
运行在以下环境
系统 debian_12 mongo-c-driver * Up to (excluding) 1.18.0-1
运行在以下环境
系统 debian_sid mongo-c-driver * Up to (excluding) 1.18.0-1
阿里云评分 6.2
  • 攻击路径 本地
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 越权影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
CWE-532 通过日志文件的信息暴露
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0