MongoDB驱动程序可能发布包含身份验证相关数据的事件

漏洞详情

CVE ID: CVE-2021-32050
严重程度: 中等
CVSS评分: 4.2/10

受影响版本

Swift驱动程序

• 受影响版本: >= 1.0.0, < 1.1.1
• 已修复版本: 1.1.1

Node.js驱动程序 (npm)

• 受影响版本:

  • = 3.6.0, < 3.6.10

  • = 4.0.0, < 4.17.0

  • = 5.0.0, < 5.8.0

• 已修复版本: 3.6.10, 4.17.0, 5.8.0

PHP驱动程序 (Composer)

• 受影响版本: >= 1.0.0, < 1.9.2
• 已修复版本: 1.9.2

漏洞描述

某些MongoDB驱动程序可能错误地将包含身份验证相关数据的事件发布到应用程序配置的命令监听器。当执行特定的身份验证相关命令时，发布的事件可能包含安全敏感数据。

如果未采取适当措施，应用程序可能会无意中暴露这些敏感信息，例如将其写入日志文件。此问题仅在应用程序启用命令监听器功能时才会出现（默认情况下未启用）。

此漏洞影响：

• MongoDB C驱动程序 1.0.0至1.17.7之前版本
• MongoDB PHP驱动程序 1.0.0至1.9.2之前版本
• MongoDB Swift驱动程序 1.0.0至1.1.1之前版本
• MongoDB Node.js驱动程序 3.6至3.6.10之前版本
• MongoDB Node.js驱动程序 4.0至4.17.0之前版本
• MongoDB Node.js驱动程序 5.0至5.8.0之前版本
• 依赖C驱动程序1.0.0至1.17.7之前版本的MongoDB C++驱动程序用户（C++驱动程序3.7.0之前版本）

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-32050
• https://jira.mongodb.org/browse/CDRIVER-3797
• https://jira.mongodb.org/browse/CXX-2028
• https://jira.mongodb.org/browse/NODE-3356
• https://jira.mongodb.org/browse/PHPC-1869
• https://jira.mongodb.org/browse/SWIFT-1229

技术细节

CVSS v3基础指标:

• 攻击向量: 本地
• 攻击复杂度: 低
• 所需权限: 高
• 用户交互: 需要
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 无

弱点分类:

• CWE-200: 向未授权参与者暴露敏感信息
• CWE-532: 将敏感信息插入日志文件

EPSS评分: 0.039% (第11百分位)