正文

【高危漏洞】MongoDB Shell可能容易通过自动补全进行控制字符注入

admin
admin V管理员 /0 评论 /11 阅读
0305
文章最后更新时间2025年03月05日,若文章内容或图片失效,请留言反馈!

皓月当空,明镜高悬

文末可体验bugSearch系统哦~

漏洞名称MongoDB Shell可能容易通过自动补全进行控制字符注入

漏洞出现时间:2025年2月27日

影响等级:高危

漏洞说明:

   MongoDB Shell可能容易受到控制字符注入的影响,在这种情况下,控制mongosh自动补全功能的攻击者可以使用自动补全功能输入和运行混淆的恶意文本。这需要用户以用户使用“tab”自动完成文本的形式进行交互,该文本是攻击者准备的自动完成的前缀。此问题影响2.3.9之前的mongosh版本。只有当mongosh连接到部分或完全由攻击者控制的集群时,才能利用此漏洞。

影响版本:

  • 2.3.9

修复方式:

  • https://jira.mongodb.org/browse/MONGOSH-2024

相关链接:

  • https://nvd.nist.gov/vuln/detail/CVE-2025-1691


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com