2020年1月3日，金山云安全应急响应中心监控到mongo-express官方公布了一个高危远程代码执行漏洞（CVE-2019-10758），且已有公开发布的漏洞利用POC，建议受影响的用户尽快安装最新补丁，修复此漏洞。

漏洞编号:

CVE-2019-10758

漏洞名称:

mongo-express 远程代码执行漏洞

漏洞危害等级:

高危

漏洞描述:

Mongo-express是一个受众较广的MongoDB的管理界面，后台默认账户为admin:pass，攻击者可以利用toBSON方法进行远程代码执行。目前已有公开发布的漏洞利用POC。

影响版本:

mongo-express < 0.54.0

修复方案：

1.     升级mongo-express到0.54.0及以上版本

2.     暂缓措施：

a)     修改默认口令，使用强密码

b)     采用白名单对访问进行限制

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758

https://github.com/masahiro331/CVE-2019-10758

北京金山云网络技术有限公司

2020/01/03