一、概要

近日，華為云關(guān)注到mongo-express官方發(fā)布安全公告，在mongo-express < 0.54.0的版本中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-10758）。mongo-express是一款用于交互式管理MongoDB數(shù)據(jù)庫的、基于Web的輕量級管理界面。使用受影響的版本，當(dāng)攻擊者在認(rèn)證通過后，構(gòu)造惡意請求可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，結(jié)合mongo-express 存在默認(rèn)的賬號密碼，很容易遭到黑客攻擊，風(fēng)險(xiǎn)高。

華為云提醒mongo-express用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://github.com/mongo-express/mongo-express/security/advisories/GHSA-h47j-hc6x-h3qq

https://github.com/masahiro331/CVE-2019-10758/

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

mongo-express < 0.54.0

安全版本：

mongo-express >= 0.54.0

四、漏洞處置

目前mongo-express官方已在0.54.0版本中修復(fù)了該漏洞，建議受影響的用戶升級至0.54.0 或更高的安全版本，同時(shí)設(shè)置強(qiáng)口令，避免未授權(quán)訪問或弱密碼訪問的安全風(fēng)險(xiǎn)。

Mongo-express GitHub地址：https://github.com/mongo-express/mongo-express

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。