MongoDB 任意代码执行漏洞(CVE-2013-4142)

2013-07-26T00:00:00
ID SSV:60915
Type seebug
Reporter Root
Modified 2013-07-26T00:00:00

Description

CVE ID:CVE-2013-4142

MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种

MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞,允许对MongoDB数据库进行读写访问的用户执行任意代码,拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题 0 MongoDB 2.4.0-2.4.4 厂商解决方案

MongoDB 2.4.5或2.5.1已经修复此漏洞,建议用户下载更新: http://www.mongodb.org