MongoDB驱动程序可能发布包含认证相关数据的事件

漏洞详情

严重程度: 中等

某些MongoDB驱动程序可能错误地将包含认证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的认证相关命令时，发布的事件可能包含安全敏感数据。

如果未采取适当措施，应用程序可能会无意中暴露这些敏感信息，例如将其写入日志文件。此问题仅在应用程序启用命令监听器功能时出现（默认情况下未启用）。

受影响版本

Swift驱动程序 (github.com/mongodb/mongo-swift-driver)

• 受影响版本: >= 1.0.0, < 1.1.1
• 已修复版本: 1.1.1

Node.js驱动程序 (npm mongodb包)

• 受影响版本:

  • = 3.6.0, < 3.6.10

  • = 4.0.0, < 4.17.0

  • = 5.0.0, < 5.8.0

• 已修复版本: 3.6.10, 4.17.0, 5.8.0

PHP驱动程序 (Composer mongodb/mongodb包)

• 受影响版本: >= 1.0.0, < 1.9.2
• 已修复版本: 1.9.2

影响范围

此问题影响：

• MongoDB C驱动程序 1.0.0 至 1.17.7之前版本
• MongoDB PHP驱动程序 1.0.0 至 1.9.2之前版本
• MongoDB Swift驱动程序 1.0.0 至 1.1.1之前版本
• MongoDB Node.js驱动程序 3.6 至 3.6.10之前版本
• MongoDB Node.js驱动程序 4.0 至 4.17.0之前版本
• MongoDB Node.js驱动程序 5.0 至 5.8.0之前版本

此问题还影响依赖于C驱动程序1.0.0至1.17.7之前版本（C++驱动程序3.7.0之前版本）的MongoDB C++驱动程序用户。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-32050
• https://jira.mongodb.org/browse/CDRIVER-3797
• https://jira.mongodb.org/browse/CXX-2028
• https://jira.mongodb.org/browse/NODE-3356
• https://jira.mongodb.org/browse/PHPC-1869
• https://jira.mongodb.org/browse/SWIFT-1229

安全指标

CVSS总体评分: 4.2/10（中等）

CVSS v3基础指标:

• 攻击向量: 本地
• 攻击复杂度: 低
• 所需权限: 高
• 用户交互: 需要
• 范围: 未改变
• 机密性: 高
• 完整性: 无影响
• 可用性: 无影响

弱点类型:

• CWE-200: 向未授权参与者暴露敏感信息
• CWE-532: 将敏感信息插入日志文件