CVE-2019-10758
CVE-2019-10758
Em resumo
mongo-express versões anteriores à 0.54.0 permite que invasores executem código arbitrário no servidor através do uso inadequado do módulo vm. Um invasor pode enviar requisições malformadas para endpoints vulneráveis que usam o método toBSON e executar comandos com privilégios do servidor.
Detalhe técnico
Vulnerabilidade de Execução Remota de Código no mongo-express <0.54.0 que explora execução inadequada de vm.Script em endpoints toBSON. O módulo vm é utilizado de forma insegura para avaliar entrada não confiável, permitindo que um invasor não autenticado execute comandos arbitrários do sistema com privilégios do processo mongo-express.
Resumo gerado e traduzido por IA a partir da descrição oficial.
mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses the `toBSON` method. A misuse of the `vm` dependency to perform `exec` commands in a non-safe environment.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
n/a · mongo-expressPoCs públicas encontradas — 2
githubgithub.com/masahiro331/CVE-2019-10758★ 111githubgithub.com/lp008/CVE-2019-10758★ 5⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →