漏洞关键信息 漏洞类型: Out-of-bounds Read CVE编号: CVE-2024-21506 CWE编号: CWE-125 漏洞描述: 受影响版本的该包在bson模块中存在越界读取漏洞。攻击者可以利用精心构造的payload迫使解析器去反序列化未管理的内存。解析器试图解释缓冲区后的字节并抛出与字符串相关的异常。如果接下来的字节不是可打印的UTF-8,解析器将抛出单个字节的异常。 修复方法: 升级pymongo至4.6.3或更高版本。 影响范围: 已撤销,不直接影响任何版本。因被视为CVE-2024-5629的重复而撤销。 PoC(漏洞利用代码) 参考资料 Github Commit GitHub Gist