Описание
Уязвимость веб-интерфейса Mongo-express системы управления базами данных MongoDB связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в целевой системе посредством отправки специально сформированного запроса
Вендор
MongoDB Inc.
Наименование ПО
Mongo-express
Версия ПО
0.54.0 (Mongo-express)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Обновление программного обеспечения до актуальной версии
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94361
Критический
10 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.9
nvd
около 6 лет назад
mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses the `toBSON` method. A misuse of the `vm` dependency to perform `exec` commands in a non-safe environment.
CVSS3: 9.9
github
около 6 лет назад
Remote Code Execution Vulnerability in NPM mongo-express
EPSS
Процентиль: 100%
0.94361
Критический
10 Critical
CVSS3
10 Critical
CVSS2