MongoDB驱动可能发布包含认证相关数据的事件

漏洞详情

严重程度：中等
CVSS评分：4.2/10

受影响版本

Swift驱动

• 受影响版本：>= 1.0.0, < 1.1.1
• 已修复版本：1.1.1

npm包（Node.js驱动）

• 受影响版本：

  • = 3.6.0, < 3.6.10

  • = 4.0.0, < 4.17.0

  • = 5.0.0, < 5.8.0

• 已修复版本：3.6.10、4.17.0、5.8.0

Composer包（PHP驱动）

• 受影响版本：>= 1.0.0, < 1.9.2
• 已修复版本：1.9.2

漏洞描述

某些MongoDB驱动程序可能会错误地将包含认证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的认证相关命令时，发布的事件可能包含安全敏感数据。

如果没有适当的注意，应用程序可能会无意中暴露这些敏感信息，例如将其写入日志文件。此问题仅在应用程序启用命令监听器功能时才会出现（默认情况下未启用）。

此漏洞影响：

• MongoDB C驱动 1.0.0至1.17.7之前版本
• MongoDB PHP驱动 1.0.0至1.9.2之前版本
• MongoDB Swift驱动 1.0.0至1.1.1之前版本
• MongoDB Node.js驱动 3.6至3.6.10之前版本
• MongoDB Node.js驱动 4.0至4.17.0之前版本
• MongoDB Node.js驱动 5.0至5.8.0之前版本
• 依赖C驱动1.0.0至1.17.7之前版本的MongoDB C++驱动用户（C++驱动3.7.0之前版本）

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-32050
• https://jira.mongodb.org/browse/CDRIVER-3797
• https://jira.mongodb.org/browse/CXX-2028
• https://jira.mongodb.org/browse/NODE-3356
• https://jira.mongodb.org/browse/PHPC-1869
• https://jira.mongodb.org/browse/SWIFT-1229

安全弱点

• CWE-200：向未授权参与者暴露敏感信息
• CWE-532：将敏感信息插入日志文件

CVSS v3基础指标

• 攻击向量：本地
• 攻击复杂度：低
• 所需权限：高
• 用户交互：需要
• 范围：未改变
• 机密性：高
• 完整性：无影响
• 可用性：无影响

CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N