‫آسیب‌پذیری بحرانی در Mongo Express شناسایی شده‌است که منجر به اجرای کد از راه دور می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک ‫آسیب‌پذیری اجرای کد از راه دور در Mongo Express، پنل ادمین برای مدیریت پایگاه داده‌های MongoDB، با درجه حساسیت بحرانی (CVSS ۹.۹) و شناسه CVE-2019-10785 وجود دارد.

نسخه‌های قبل از ۰.۵۴.۰ از mongo-express که از تابع "toBSON" در کامپوننت Endpoint استفاده می‌کنند آسیب‌پذیر هستند.

سوءاستفاده از وابستگی "vm" برای اجرای دستورات "exec" در محیط اجرای ناامن منجر به بهره‌برداری از این آسیب‌پذیری می‌شود. نام کاربری و رمز عبور پیش فرض به ترتیب admin و pass است.

با توجه به درجه حساسیت این آسیب‌پذیری به کاربران mongo-express پیشنهاد می‌شود تا در اسرع وقت به‌روزرسانی‌ به نسخه ۰.۵۴.۰ را انجام دهند.