CVE-2021-32050:MongoDB驱动程序可能发布包含身份验证相关数据的事件
漏洞详情
漏洞描述
部分MongoDB驱动程序可能错误地将包含身份验证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的身份验证相关命令时,发布的事件可能包含安全敏感数据。
若应用程序未加注意,可能会无意中暴露这些敏感信息,例如将其写入日志文件。此问题仅在应用程序启用了命令监听器功能(默认未启用)时才会出现。
受影响的软件包及版本
此问题影响以下MongoDB驱动程序:
- MongoDB C驱动程序:1.0.0 至 1.17.7(不含)之间的版本。
- MongoDB PHP驱动程序:1.0.0 至 1.9.2(不含)之间的版本。
- MongoDB Swift驱动程序:1.0.0 至 1.1.1(不含)之间的版本。
- MongoDB Node.js驱动程序:
- 3.6.0 至 3.6.10(不含)之间的版本。
- 4.0.0 至 4.17.0(不含)之间的版本。
- 5.0.0 至 5.8.0(不含)之间的版本。
- MongoDB C++驱动程序:依赖于上述受影响C驱动程序(1.0.0 至 1.17.7,不含)的版本,即C++驱动程序3.7.0之前的版本。
已修复的版本
- Swift驱动程序 (
github.com/mongodb/mongo-swift-driver): 1.1.1 - NPM包 (
mongodb): 3.6.10, 4.17.0, 5.8.0 - Composer包 (
mongodb/mongodb): 1.9.2
技术信息
严重程度
- 严重性评级: 中危 (Moderate)
- CVSS 3.1 总体评分: 4.2 / 10
- CVSS 3.1 基础指标:
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N- 攻击向量 (AV): 本地
- 攻击复杂度 (AC): 低
- 所需权限 (PR): 高
- 用户交互 (UI): 需要
- 影响范围 (S): 未改变
- 机密性影响 (C): 高
- 完整性影响 (I): 无
- 可用性影响 (A): 无
弱点类型
- CWE-200: 向未授权的参与者暴露敏感信息。
- 产品将敏感信息暴露给未被明确授权访问该信息的参与者。
- CWE-532: 将敏感信息插入日志文件。
- 写入日志文件的信息可能具有敏感性,为攻击者提供有价值的指导或暴露用户的敏感信息。
其他标识符
- CVE ID: CVE-2021-32050
- GHSA ID: GHSA-vxvm-qww3-2fh7
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2021-32050
- https://jira.mongodb.org/browse/CDRIVER-3797 (C Driver)
- https://jira.mongodb.org/browse/CXX-2028 (C++ Driver)
- https://jira.mongodb.org/browse/NODE-3356 (Node.js Driver)
- https://jira.mongodb.org/browse/PHPC-1869 (PHP Driver)
- https://jira.mongodb.org/browse/SWIFT-1229 (Swift Driver)
- mongodb/mongo-php-driver#1235
- mongodb/mongo-swift-driver#643
- 相关修复提交:
- mongodb/mongo-php-driver@4495de8
- mongodb/node-mongodb-native@8c8b4c3
- https://security.netapp.com/advisory/ntap-20231006-0001
- https://lists.debian.org/debian-lts-announce/2025/05/msg00027.html
时间线
- 由国家漏洞数据库发布: 2023年8月29日
- 发布至GitHub Advisory数据库: 2023年8月29日
- 已审核: 2023年8月30日
- 最后更新: 2025年11月3日