Authorization session conflation 漏洞信息(CVE-2019-2386)

一、漏洞 CVE-2019-2386 基础信息

漏洞标题

授权会话合并

来源：AIGC 神龙大模型

漏洞描述信息

授权会话融合

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Authorization session conflation

来源：美国国家漏洞数据库 NVD

漏洞描述信息

After user deletion in MongoDB Server the improper invalidation of authorization sessions allows an authenticated user's session to persist and become conflated with new accounts, if those accounts reuse the names of deleted ones. This issue affects MongoDB Server v4.0 versions prior to 4.0.9; MongoDB Server v3.6 versions prior to 3.6.13 and MongoDB Server v3.4 versions prior to 3.4.22. Workaround: After deleting one or more users, restart any nodes which may have had active user authorization sessions. Refrain from creating user accounts with the same name as previously deleted accounts.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

Mongodb MongoDB Server 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Mongodb Server是美国Mongodb公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。 MongoDB Server 4.0.9之前的版本、3.6.13之前的3.6版本和3.4.22之前的3.4版本存在代码问题漏洞，该漏洞源于程序没有正确地使授权会话失效。攻击者可利用该漏洞访问MongoDB数据库服务器。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2019-2386 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2019-2386 的情报信息

https://jira.mongodb.org/browse/SERVER-38984 x_refsource_CONFIRM
https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0829 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2019-2386

一、 漏洞 CVE-2019-2386 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2019-2386 的公开POC

三、漏洞 CVE-2019-2386 的情报信息

一、漏洞 CVE-2019-2386 基础信息