一、 漏洞 CVE-2024-8207 基础信息
漏洞标题
MongoDB服务器二进制文件可能会从特定的相对路径加载可能存在安全风险的共享库
来源:AIGC 神龙大模型
漏洞描述信息
在主机系统和在Linux操作系统上安装的MongoDB服务器二进制文件的特定且高度具体的配置中,具有主机级访问权限的非预期方有可能在服务器二进制文件启动时使其加载由非预期方控制的共享库,从而可能使非预期方完全控制MongoDB服务器进程。这个问题影响MongoDB Server v5.0的版本,早于5.0.14,以及MongoDB Server v6.0的版本,早于6.0.3。 所需配置:仅在底层运行Linux操作系统的环境中,此问题才会受到影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对搜索路径元素未加控制
来源:AIGC 神龙大模型
漏洞标题
MongoDB Server binaries may load potentially insecure shared libraries from specific relative paths
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In certain highly specific configurations of the host system and MongoDB server binary installation on Linux Operating Systems, it may be possible for a unintended actor with host-level access to cause the MongoDB Server binary to load unintended actor-controlled shared libraries when the server binary is started, potentially resulting in the unintended actor gaining full control over the MongoDB server process. This issue affects MongoDB Server v5.0 versions prior to 5.0.14 and MongoDB Server v6.0 versions prior to 6.0.3. Required Configuration: Only environments with Linux as the underlying operating system is affected by this issue
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
流程控制
来源:美国国家漏洞数据库 NVD
漏洞标题
MongoDB Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。 MongoDB Server 5.0版本至5.0.14之前版本和6.0版本至6.0.3之前版本存在安全漏洞。攻击者利用该漏洞可以完全控制MongoDB Server进程。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8207 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8207 的情报信息