MongoDB Driver may publish events containing authentication-related data · CVE-2021-32050

严重程度：中危 GitHub 已审核 发布日期： 2023年8月29日 至 GitHub 咨询数据库 最后更新： 2025年11月3日

漏洞详情

受影响的软件包及版本

描述

某些 MongoDB 驱动程序可能会错误地将包含身份验证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的身份验证相关命令时，发布的事件可能包含安全敏感数据。

如果处理不当，应用程序可能会无意中泄露这些敏感信息，例如将其写入日志文件。此问题仅出现在应用程序启用了命令监听器功能的情况下（此功能默认未启用）。

此漏洞影响以下驱动程序版本：

• MongoDB C 驱动程序 1.0.0 至 1.17.7 之前版本
• MongoDB PHP 驱动程序 1.0.0 至 1.9.2 之前版本
• MongoDB Swift 驱动程序 1.0.0 至 1.1.1 之前版本
• MongoDB Node.js 驱动程序 3.6 至 3.6.10 之前版本
• MongoDB Node.js 驱动程序 4.0 至 4.17.0 之前版本
• MongoDB Node.js 驱动程序 5.0 至 5.8.0 之前版本
• 此问题还影响依赖 C 驱动程序 1.0.0 至 1.17.7 之前版本（C++ 驱动程序 3.7.0 之前版本）的 MongoDB C++ 驱动程序用户。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-32050
• https://jira.mongodb.org/browse/CDRIVER-3797
• https://jira.mongodb.org/browse/CXX-2028
• https://jira.mongodb.org/browse/NODE-3356
• https://jira.mongodb.org/browse/PHPC-1869
• https://jira.mongodb.org/browse/SWIFT-1229
• mongodb/mongo-php-driver#1235
• mongodb/mongo-swift-driver#643
• mongodb/mongo-php-driver@4495de8
• mongodb/node-mongodb-native@8c8b4c3
• https://security.netapp.com/advisory/ntap-20231006-0001
• https://lists.debian.org/debian-lts-announce/2025/05/msg00027.html

由国家漏洞数据库发布： 2023年8月29日 由 GitHub 咨询数据库发布： 2023年8月29日 审核时间： 2023年8月30日

严重性评分

严重程度：中危 CVSS 总体评分：4.2 / 10

CVSS v3 基础指标

• 攻击向量 (AV)： 本地 (L)
• 攻击复杂度 (AC)： 低 (L)
• 所需权限 (PR)： 高 (H)
• 用户交互 (UI)： 需要 (R)
• 影响范围 (S)： 未改变 (U)
• 机密性影响 (C)： 高 (H)
• 完整性影响 (I)： 无 (N)
• 可用性影响 (A)： 无 (N)

CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N

EPSS 评分

0.039% (第12百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。

弱点

• CWE-200： 向未授权参与者暴露敏感信息 该产品将敏感信息暴露给未被明确授权访问该信息的参与者。
• CWE-532： 将敏感信息插入日志文件 该产品将敏感信息写入日志文件。

标识符

• CVE ID： CVE-2021-32050
• GHSA ID： GHSA-vxvm-qww3-2fh7

源代码

无已知源代码

此咨询已被编辑。请查看历史记录。