negnegil的博客

MongoDB未授权访问漏洞危害MongoDB服务开放在公网上时，若未配置访问认证授权，则攻击者可无需认证即可连接数据库，对数据库进行任何操作（增、删、改、查等高危操作），并造成严重的敏感泄露风险。漏洞成因MongoDB服务安装后，默认未开启权限认证，且服务监听在0.0.0.0.，会造成远程未授权访问漏洞在mongo数据库服务监听在0.0.0.0的情况下，若未在admin数据库中添加任何账号，且未使用–auth参数启动mongoDB服务，则会造成未授权访问（二者缺一不可）。只有添加在admin中添

mongo-expressmongo-express是一个MongoDB的Admin Web管理界面，基于NodeJS、Express、Bootstrap3开源编写漏洞介绍在开启了端口8081后，攻击者可以直接访问，而目标服务器上没有修改默认的登录密码admin/pass,则攻击者可以远程执行node.js代码复现环境mongo-express 0.53.0 MongoDB Version 3.4.24漏洞环境搭建采用github开源docker漏洞环境搭建而成项目地址：https:/