【漏洞详情】

近日，mongo-express官方发布安全公告，在mongo-express < 0.54.0版本中存在远程代码执行漏洞（CVE-2019-10758），具备登陆权限的远程攻击者通过构造恶意请求可实现远程代码执行，获取服务器权限，漏洞风险高。建议受影响的用户综合评估安全及业务影响，及时进行更新修复，避免安全风险。

【风险评级】

高危

【影响范围】

mongo-express < 0.54.0

【修复建议】

目前mongo-express官方已在0.54.0版本中修复了该漏洞，建议受影响用户综合评估漏洞风险和业务影响，升级至0.54.0 或更高的安全版本，同时设置强口令，避免安全风险。

【参考链接】

https://github.com/masahiro331/CVE-2019-10758/

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年1月7日