漏洞详情
CVE-2021-32050
严重程度:中等
发布日期: 2023年8月29日(发布于GitHub Advisory Database) 最后更新: 2025年11月3日
受影响组件与版本
Swift驱动 (github.com/mongodb/mongo-swift-driver)
- 受影响版本:>= 1.0.0, < 1.1.1
- 已修复版本:1.1.1
Node.js驱动 (mongodb - npm)
- 受影响版本:>= 3.6.0, < 3.6.10;>= 4.0.0, < 4.17.0;>= 5.0.0, < 5.8.0
- 已修复版本:3.6.10, 4.17.0, 5.8.0
PHP驱动 (mongodb/mongodb - Composer)
- 受影响版本:>= 1.0.0, < 1.9.2
- 已修复版本:1.9.2
此外,该问题还影响:
- MongoDB C 驱动版本 1.0.0 至 1.17.7(不含)。
- 依赖受影响C驱动的MongoDB C++驱动(版本低于3.7.0)。
漏洞描述
某些MongoDB驱动程序可能错误地将包含身份验证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的身份验证相关命令时,发布的事件可能包含安全敏感数据。 如果开发人员未加注意,应用程序可能会无意中暴露这些敏感信息,例如将其写入日志文件。此问题仅在应用程序启用了命令监听器功能(默认情况下未启用)时才会出现。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2021-32050
- https://jira.mongodb.org/browse/CDRIVER-3797
- https://jira.mongodb.org/browse/CXX-2028
- https://jira.mongodb.org/browse/NODE-3356
- https://jira.mongodb.org/browse/PHPC-1869
- https://jira.mongodb.org/browse/SWIFT-1229
- mongodb/mongo-php-driver#1235
- mongodb/mongo-swift-driver#643
- mongodb/mongo-php-driver@4495de8
- mongodb/node-mongodb-native@8c8b4c3
- https://security.netapp.com/advisory/ntap-20231006-0001
- https://lists.debian.org/debian-lts-announce/2025/05/msg00027.html
安全评分
CVSS总体评分:4.2(中等)
CVSS v3 基础指标:
- 攻击向量(AV):本地(L)
- 攻击复杂度(AC):低(L)
- 所需权限(PR):高(H)
- 用户交互(UI):需要(R)
- 影响范围(S):未改变(U)
- 机密性影响(C):高(H)
- 完整性影响(I):无(N)
- 可用性影响(A):无(N)
向量字符串: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
EPSS评分: 0.039%(第11百分位)
关联弱点
- CWE-200: 向未授权参与者暴露敏感信息。
- CWE-532: 将敏感信息插入日志文件。
CVE ID: CVE-2021-32050 GHSA ID: GHSA-vxvm-qww3-2fh7