MongoDB 任意代码执行漏洞(CVE-2013-4142)
漏洞版本:
MongoDB 2.4.0-2.4.4
漏洞描述:
CVE ID:CVE-2013-4142 MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种 MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞,允许对MongoDB数据库进行读写访问的用户执行任意代码,拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题
<* 参考
http://blog.scrt.ch/2013/06/04/mongodb-rce-by-databasespraying/*>
https://jira.mongodb.org/browse/SERVER-9878
http://www.secunia.com/advisories/54170/
安全建议:
厂商解决方案 MongoDB 2.4.5或2.5.1已经修复此漏洞,建议用户下载更新: http://www.mongodb.org