MongoDB Driver may publish events containing authentication-related data
漏洞详情
严重性等级: 中等 发布日期: 2023年8月29日 (GitHub Advisory Database) 最后更新: 2025年11月3日
受影响的包及版本
| 包管理器 | 包名称 | 受影响版本 | 已修补版本 |
|---|---|---|---|
| Swift | github.com/mongodb/mongo-swift-driver |
>= 1.0.0, < 1.1.1 | 1.1.1 |
| npm | mongodb |
>= 3.6.0, < 3.6.10 >= 4.0.0, < 4.17.0 >= 5.0.0, < 5.8.0 |
3.6.10 4.17.0 5.8.0 |
| Composer | mongodb/mongodb |
>= 1.0.0, < 1.9.2 | 1.9.2 |
漏洞描述
某些MongoDB驱动程序可能会错误地将包含认证相关数据的事件发布给由应用程序配置的命令监听器。当执行特定的认证相关命令时,发布的事件可能包含安全敏感数据。 如果未加注意,应用程序可能会无意中暴露这些敏感信息,例如将其写入日志文件。此问题仅在应用程序启用了命令监听器功能时才会出现(默认情况下未启用)。
此漏洞影响以下驱动程序:
- MongoDB C 驱动程序 1.0.0 至 1.17.7(不含)之前的版本。
- MongoDB PHP 驱动程序 1.0.0 至 1.9.2(不含)之前的版本。
- MongoDB Swift 驱动程序 1.0.0 至 1.1.1(不含)之前的版本。
- MongoDB Node.js 驱动程序 3.6 至 3.6.10(不含)之前的版本。
- MongoDB Node.js 驱动程序 4.0 至 4.17.0(不含)之前的版本。
- MongoDB Node.js 驱动程序 5.0 至 5.8.0(不含)之前的版本。
- 此问题也影响依赖于 C 驱动程序 1.0.0 至 1.17.7(不含)之前版本(即 C++ 驱动程序 3.7.0 之前版本)的 MongoDB C++ 驱动程序用户。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2021-32050
- https://jira.mongodb.org/browse/CDRIVER-3797
- https://jira.mongodb.org/browse/CXX-2028
- https://jira.mongodb.org/browse/NODE-3356
- https://jira.mongodb.org/browse/PHPC-1869
- https://jira.mongodb.org/browse/SWIFT-1229
- mongodb/mongo-php-driver#1235
- mongodb/mongo-swift-driver#643
- mongodb/mongo-php-driver@4495de8
- mongodb/node-mongodb-native@8c8b4c3
- https://security.netapp.com/advisory/ntap-20231006-0001
- https://lists.debian.org/debian-lts-announce/2025/05/msg00027.html
安全评分 (CVSS v3.1)
总体评分:4.2 (中等)
基础指标向量: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
- 攻击向量 (AV): 本地
- 攻击复杂度 (AC): 低
- 所需权限 (PR): 高
- 用户交互 (UI): 需要
- 影响范围 (S): 未改变
- 机密性影响 (C): 高
- 完整性影响 (I): 无
- 可用性影响 (A): 无
弱点 (CWE)
- CWE-200: 向未授权参与者暴露敏感信息
- 产品将敏感信息暴露给未被明确授权访问该信息的参与者。
- CWE-532: 将敏感信息插入日志文件
- 写入日志文件的信息可能具有敏感性,为攻击者提供有价值的指导或暴露敏感的用户信息。
标识符
- CVE ID: CVE-2021-32050
- GHSA ID: GHSA-vxvm-qww3-2fh7
来源代码
- 未发现已知的源代码。