MongoDB查询日志与数据库架构通过未授权端点泄露

安全研究员sameer_ali发现Bykea存在未授权健康检查端点,泄露MongoDB查询日志与数据库架构信息。该漏洞可能被攻击者用于侦察和横向移动,虽然未发现直接利用方式,但存在信息泄露风险。

MongoDB查询日志与数据库架构通过未授权端点泄露

漏洞概述

安全研究员@sameer_ali发现Bykea存在一个未授权的健康检查端点,该端点暴露了基本的系统和基础设施详细信息。虽然未发现直接利用方式,但这些信息可能协助攻击者进行侦察和横向移动。

时间线

  • 2025年7月12日 20:11 UTC:sameer_ali向Bykea提交漏洞报告
  • 2025年7月12日 20:45 UTC:Bykea工作人员pingsudo发表评论
  • 2025年7月12日 20:56 UTC:严重等级从中等(6.5)调整为低
  • 2025年7月12日 20:57 UTC:状态变更为"已分类"
  • 2025年7月12日 20:57 UTC:向sameer_ali发放赏金
  • 2025年7月12日 21:00 UTC:报告关闭,状态变为"已解决"
  • 2025年7月12日 22:17 UTC:sameer_ali请求公开报告
  • 6天前:pingsudo同意公开报告

漏洞详情

  • 报告ID:#3249406
  • 状态:已解决
  • 严重等级:低(0.1~3.9)
  • 披露时间:2025年9月17日 12:16 UTC
  • 弱点类型:LLM06 - 敏感信息泄露
  • CVE ID:无
  • 赏金状态:隐藏

技术影响

该漏洞暴露了MongoDB的查询日志和数据库架构信息,虽然风险等级较低,但仍可能为攻击者提供有价值的情报收集机会。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次