漏洞详情
CVE ID: CVE-2021-32050
严重程度: 中危 (CVSS:4.2)
描述: 部分 MongoDB 驱动程序可能会错误地将包含身份验证相关数据的事件发布到由应用程序配置的命令监听器。当执行特定的身份验证相关命令时,发布的事件可能包含安全敏感数据。若未加注意,应用程序可能会无意中暴露这些敏感信息,例如将其写入日志文件。请注意,此问题仅在应用程序启用命令监听器功能(默认不启用)时才会出现。
受影响组件及版本:
- github.com/mongodb/mongo-swift-driver (Swift): >= 1.0.0, < 1.1.1
- 已修复版本: 1.1.1
- mongodb (npm): >= 3.6.0, < 3.6.10; >= 4.0.0, < 4.17.0; >= 5.0.0, < 5.8.0
- 已修复版本: 3.6.10, 4.17.0, 5.8.0
- mongodb/mongodb (Composer): >= 1.0.0, < 1.9.2
- 已修复版本: 1.9.2
此外,该问题还影响:
- MongoDB C 驱动 1.0.0 至 1.17.7(不含)版本。
- 依赖 C 驱动 1.0.0 至 1.17.7(不含)的 MongoDB C++ 驱动(对应 C++ 驱动 3.7.0 之前的版本)。
- MongoDB PHP 驱动 1.0.0 至 1.9.2(不含)版本。
相关链接:
- https://nvd.nist.gov/vuln/detail/CVE-2021-32050
- https://jira.mongodb.org/browse/CDRIVER-3797
- https://jira.mongodb.org/browse/CXX-2028
- https://jira.mongodb.org/browse/NODE-3356
- https://jira.mongodb.org/browse/PHPC-1869
- https://jira.mongodb.org/browse/SWIFT-1229
- mongodb/mongo-php-driver#1235
- mongodb/mongo-swift-driver#643
- mongodb/mongo-php-driver@4495de8
- mongodb/node-mongodb-native@8c8b4c3
- https://security.netapp.com/advisory/ntap-20231006-0001
- https://lists.debian.org/debian-lts-announce/2025/05/msg00027.html
弱点识别 (CWE):
- CWE-200: 向未授权参与者暴露敏感信息
- CWE-532: 将敏感信息插入日志文件
漏洞评分详情 (CVSS v3.1):
- 攻击向量 (AV): 本地 (L)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 高 (H)
- 用户交互 (UI): 需要 (R)
- 影响范围 (S): 未改变 (U)
- 机密性影响 (C): 高 (H)
- 完整性影响 (I): 无 (N)
- 可用性影响 (A): 无 (N)
- 向量字符串: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N