一、 漏洞 CVE-2019-10758 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
mongo-express在0.54.0之前版本存在远程代码执行漏洞,该漏洞通过使用`toBSON`方法的端点触发,并且由于`vm`依赖项在非安全环境中执行`exec`命令导致。

## 影响版本
- 版本低于0.54.0

## 漏洞细节
该漏洞是由于`vm`依赖项在非安全环境中执行`exec`命令造成的。具体的利用点在于使用`toBSON`方法的端点,攻击者可以远程执行任意代码。

## 漏洞影响
攻击者可以通过构造特定请求利用此漏洞在目标服务器上执行任意代码,导致远程代码执行风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that uses the `toBSON` method. A misuse of the `vm` dependency to perform `exec` commands in a non-safe environment.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
mongo-express 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
mongo-express是一款用于交互式管理MongoDB数据库的、基于Web的轻量级管理界面。 mongo-express 0.54.0之前版本中存在安全漏洞。攻击者可借助使用toBSON方法的端点利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-10758 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/masahiro331/CVE-2019-10758 POC详情
2 CVE-2019-10758 https://github.com/lp008/CVE-2019-10758 POC详情
3 mongo-express before 0.54.0 is vulnerable to remote code execution via endpoints that uses the `toBSON` method and misuse the `vm` dependency to perform `exec` commands in a non-safe environment. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-10758.yaml POC详情
4 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/mongo-express%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2019-10758.md POC详情
5 Mongo Express CVE-2019-10758 Code Execution https://github.com/chaitin/xray-plugins/blob/main/poc/manual/mongo-express-cve-2019-10758.yml POC详情
6 https://github.com/vulhub/vulhub/blob/master/mongo-express/CVE-2019-10758/README.md POC详情
三、漏洞 CVE-2019-10758 的情报信息