Оболочка MongoDB может быть подвержена внедрению управляющих символов, когда злоумышленник, контролирующий буфер обмена пользователя, может манипулировать ими, чтобы вставить текст в mongosh, который оценивает произвольный код. Управляющие символы во вставленном тексте могут использоваться для маскировки вредоносного кода. Эта проблема затрагивает версии mongosh до 2.3.9.
Показать оригинальное описание (EN)
The MongoDB Shell may be susceptible to control character injection where an attacker with control of the user’s clipboard could manipulate them to paste text into mongosh that evaluates arbitrary code. Control characters in the pasted text can be used to obfuscate malicious code. This issue affects mongosh versions prior to 2.3.9
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mongodb Mongosh
cpe:2.3:a:mongodb:mongosh:*:*:*:*:*:*:*:*
|
— |
2.3.9
|