mongo-express

Die Schwachstelle betrifft mongo-express, eine webbasierte Verwaltungsoberfläche für MongoDB-Datenbanken. Ursache ist ein unsicherer Umgang mit der vm-Programmbibliothek: An bestimmten Endpunkten, die die Methode toBSON verarbeiten, werden übergebene Daten in einer nicht abgeschotteten Umgebung ausgeführt. Dadurch lässt sich aus der Ferne beliebiger Programmcode einschleusen und ausführen (Remote Code Execution). Ein Angreifer, der einen solchen Endpunkt erreicht, kann eigenen Code auf dem Server unterbringen, auf dem die Verwaltungsoberfläche läuft, und so die Kontrolle über das System erlangen. Da mongo-express häufig als bequemes Web-Frontend für Datenbanken eingesetzt und teils auch im Netz erreichbar gemacht wird, ist die Anwendung ein attraktiver Angriffspunkt: Über den Defekt erhält der Angreifer nicht nur Zugriff auf die Verwaltungsfunktionen, sondern potenziell auch auf die dahinterliegenden Datenbankinhalte und den Server selbst.