中危 MongoDB 安全漏洞(CVE-2021-32050)

CVE编号

CVE-2021-32050

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-08-30
漏洞描述
某些MongoDB驱动程序可能会错误地将包含与认证相关的数据的事件发布到由应用程序配置的命令监听器。当执行特定的与认证相关的命令时,发布的事件可能包含安全敏感数据。

如果应用程序启用了命令监听器功能(默认情况下未启用),则可能无意中暴露此敏感信息,例如通过将其写入日志文件。此问题影响MongoDB C驱动程序 1.0.0至1.17.7之前的版本,MongoDB PHP驱动程序 1.0.0至1.9.2之前的版本,MongoDB Swift驱动程序 1.0.0至1.1.1之前的版本,MongoDB Node.js驱动程序 3.6至3.6.10之前的版本,MongoDB Node.js驱动程序 4.0至4.17.0之前的版本以及MongoDB Node.js驱动程序 5.0至5.8.0之前的版本。此问题还会影响依赖于C驱动程序 1.0.0至1.17.7之前版本(C++驱动程序之前版本为3.7.0)的MongoDB C++驱动程序用户。
解决建议
"将组件 mongodb 升级至 5.8.0 及以上版本"
"将组件 mongodb 升级至 4.17.0 及以上版本"
"将组件 mongodb 升级至 3.6.10 及以上版本"
"将组件 mongodb/mongo-c-driver 升级至 1.17.7 及以上版本"
"将组件 mongodb/mongo-cxx-driver 升级至 3.7.0 及以上版本"
"将组件 github.com/mongodb/mongo-swift-driver 升级至 1.1.1 及以上版本"
"将组件 mongodb/mongodb 升级至 1.9.2 及以上版本"
"将组件 https://github.com/mongodb/mongo-swift-driver 升级至 1.1.1 及以上版本"
"将组件 php-mongodb 升级至 1.11.1+1.9.2+1.7.5-4 及以上版本"
"将组件 mongo-c-driver 升级至 1.18.0-1 及以上版本"
参考链接
https://jira.mongodb.org/browse/CDRIVER-3797
https://jira.mongodb.org/browse/CXX-2028
https://jira.mongodb.org/browse/NODE-3356
https://jira.mongodb.org/browse/PHPC-1869
https://jira.mongodb.org/browse/SWIFT-1229
https://security.netapp.com/advisory/ntap-20231006-0001/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mongodb c++ * From
(including)
1.0.0 		Up to
(excluding)
1.17.7
运行在以下环境
应用 mongodb c_driver * From
(including)
1.0.0 		Up to
(excluding)
1.17.7
运行在以下环境
应用 mongodb node.js * From
(including)
3.6 		Up to
(excluding)
3.6.10
运行在以下环境
应用 mongodb node.js * From
(including)
4.0 		Up to
(excluding)
4.17.0
运行在以下环境
应用 mongodb node.js * From
(including)
5.0 		Up to
(excluding)
5.8.0
运行在以下环境
应用 mongodb php_driver * From
(including)
1.0.0 		Up to
(excluding)
1.9.2
运行在以下环境
应用 mongodb swift_driver * From
(including)
1.0.0 		Up to
(excluding)
1.1.1
阿里云评分
6.2
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    越权影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-532 通过日志文件的信息暴露
阿里云安全产品覆盖情况