一、 漏洞 CVE-2025-1693 基础信息
漏洞标题
MongoDB Shell可能通过壳输出易受控制字符注入攻击
来源:AIGC 神龙大模型
漏洞描述信息
MongoDB Shell可能存在控制字符注入漏洞。当攻击者能够控制数据库集群内容时,可以将控制字符注入到Shell输出中。这可能导致显示伪造的消息,这些消息看似源自mongosh或底层操作系统,可能会误导用户执行不安全的操作。
该漏洞仅在mongosh连接到部分或完全由攻击者控制的集群时可被利用。
此问题影响版本早于2.3.9的mongosh。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
MongoDB Shell may be susceptible to control character Injection via shell output
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The MongoDB Shell may be susceptible to control character injection where an attacker with control over the database cluster contents can inject control characters into the shell output. This may result in the display of falsified messages that appear to originate from mongosh or the underlying operating system, potentially misleading users into executing unsafe actions.
The vulnerability is exploitable only when mongosh is connected to a cluster that is partially or fully controlled by an attacker.
This issue affects mongosh versions prior to 2.3.9
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
转义、元或控制序列转义处理不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1693 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-1693 的情报信息
-
标题: [MONGOSH-2026] MongoDB Shell may be susceptible to control character Injection via shell output - MongoDB Jira -- 🔗来源链接
标签:
![[MONGOSH-2026] MongoDB Shell may be susceptible to control character Injection via shell output - MongoDB Jira](https://h.imfht.com:8082/2025-02-27/screenshot-viewport-2025-02-27T16-48-43.349Z-c8a1af0f0cf8412a1cde.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-1693