CVE-2019-10758

Опубликовано: 24 дек. 2019

Источник: nvd

CVSS3: 9.9

CVSS2: 9

EPSS Критический

Описание

mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses the toBSON method. A misuse of the vm dependency to perform exec commands in a non-safe environment.

Ссылки

https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215
Exploit
Third Party Advisory
https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215
Exploit
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-10758
US Government Resource

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mongo-express_project:mongo-express:*:*:*:*:*:node.js:*:*

Версия до 0.54.0 (исключая)

EPSS

Процентиль: 100%

0.94361

Критический

9.9 Critical

CVSS3

9 Critical

CVSS2

Дефекты

NVD-CWE-noinfo

CWE-94

Связанные уязвимости

GHSA-h47j-hc6x-h3qq

CVSS3: 9.9

github

около 6 лет назад

Remote Code Execution Vulnerability in NPM mongo-express

BDU:2020-00407

CVSS3: 10

fstec

больше 6 лет назад

Уязвимость веб-интерфейса Mongo-express системы управления базами данных MongoDB, позволяющая нарушителю выполнить произвольный код в целевой системе посредством отправки специально сформированного запроса