MongoDB 远程代码注入漏洞

漏洞信息详情

MongoDB 远程代码注入漏洞

• CNNVD编号：CNNVD-201303-542
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-1892
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2013-03-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-10-16
  
• 厂        商：
  
  mongodb
• 漏洞来源：
  agixid

MongoDB是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。

MongoDB 2.0.8及之前的版本和2.2.x before 2.2.4之前的版本中存在拒绝服务漏洞，该漏洞源于SpiderMonkey组件中的nativeHelper函数中没有正确验证请求。远程经过授权的攻击者可借助特制的内存地址利用该漏洞造成拒绝服务（无效的内存访问和服务器崩溃）或执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.mongodb.org/about/alerts/

来源: jira.mongodb.org

链接:https://jira.mongodb.org/browse/SERVER-9124

来源: MLIST

名称: [oss-security] 20130325 Re: CVE Request: Mongo DB

链接:http://www.openwall.com/lists/oss-security/2013/03/25/9

来源: www.mongodb.org

链接:http://www.mongodb.org/about/alerts/

来源: REDHAT

名称: RHSA-2013:1170

链接:http://rhn.redhat.com/errata/RHSA-2013-1170.html

来源: blog.scrt.ch

链接:http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/

来源:SECUNIA

名称:52721

链接:http://secunia.com/advisories/52721

来源: BID

名称: 58695

链接:http://www.securityfocus.com/bid/58695