← volver
CVE-2019-10758

CVE-2019-10758

CVSS 9.9 CRITICALEPSS 84.8%● KEVCWE-94
En resumen

mongo-express en versiones anteriores a 0.54.0 permite que atacantes ejecuten código arbitrario en el servidor mediante el uso inadecuado del módulo vm. Un atacante puede enviar solicitudes manipuladas a endpoints vulnerables que usan el método toBSON para ejecutar comandos con privilegios del servidor.

Detalle técnico

Vulnerabilidad de Ejecución Remota de Código en mongo-express <0.54.0 que explota ejecución insegura de vm.Script en endpoints toBSON. El módulo vm se utiliza de forma impropia para evaluar entrada no confiable, permitiendo que un atacante no autenticado ejecute comandos arbitrarios del sistema con los privilegios del proceso mongo-express.

Resumen generado y traducido por IA a partir de la descripción oficial.
mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses the `toBSON` method. A misuse of the `vm` dependency to perform `exec` commands in a non-safe environment.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
n/a · mongo-express
PoCs públicas encontradas2
githubgithub.com/masahiro331/CVE-2019-10758111githubgithub.com/lp008/CVE-2019-107585
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-10758