MongoDB 任意代码执行漏洞(CVE-2013-4142)

漏洞版本:

MongoDB 2.4.0-2.4.4

漏洞描述:

CVE ID:CVE-2013-4142

MongoDB是一个高性能，开源，无模式的文档型数据库，是当前NoSql数据库中比较热门的一种

MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞，允许对MongoDB数据库进行读写访问的用户执行任意代码，拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题

<* 参考

http://blog.scrt.ch/2013/06/04/mongodb-rce-by-databasespraying/
https://jira.mongodb.org/browse/SERVER-9878
http://www.secunia.com/advisories/54170/

安全建议:

厂商解决方案

MongoDB 2.4.5或2.5.1已经修复此漏洞，建议用户下载更新：
http://www.mongodb.org

posted @ 2013-07-26 21:09 夏虫xm 阅读(1526) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

漏洞信息库

MongoDB 任意代码执行漏洞(CVE-2013-4142)

漏洞版本:

漏洞描述:

安全建议:

公告