آسیبپذیری بحرانی در Mongo Express شناسایی شدهاست که منجر به اجرای کد از راه دور میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک آسیبپذیری اجرای کد از راه دور در Mongo Express، پنل ادمین برای مدیریت پایگاه دادههای MongoDB، با درجه حساسیت بحرانی (CVSS ۹.۹) و شناسه CVE-2019-10785 وجود دارد.
نسخههای قبل از ۰.۵۴.۰ از mongo-express که از تابع "toBSON" در کامپوننت Endpoint استفاده میکنند آسیبپذیر هستند.
سوءاستفاده از وابستگی "vm" برای اجرای دستورات "exec" در محیط اجرای ناامن منجر به بهرهبرداری از این آسیبپذیری میشود. نام کاربری و رمز عبور پیش فرض به ترتیب admin و pass است.
با توجه به درجه حساسیت این آسیبپذیری به کاربران mongo-express پیشنهاد میشود تا در اسرع وقت بهروزرسانی به نسخه ۰.۵۴.۰ را انجام دهند.