mongod 漏洞列表

MongoDB build and server information was detected.

MongoDB 未授权访问漏洞指的就是 MongoDB 在使用过程中没有正确设置数据库的访问权限，导致数据库被非授权用户访问并对数据库数据进行增删改等高危操作。MongoDB 数据库弱口令漏洞危害严重，可以导致数据库数据泄露或被删除勒索，从而造成严重的生产事故。

MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。 MongoDB Server存在安全漏洞，该漏洞源于未提供CAFile和clusterCAFile时，服务器会跳过对等证书验证。受影响的产品和版本：MongoDB Server 7.0.5及之前的7.0版本，6.0.13及之前的6.0版本，5.0.24及之前的5.0版本，4.4.28及之前的4.4版本。

Spring Data MongoDB是Spring框架访问MongoDB的组件，当使用@Query或@Aggregation注解进行查询时，如果输入未被过滤，可导致 SpEL 表达式注入漏洞，从而实现远程代码执行。

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,任意攻击者都可以通过默认端口无需密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。导致泄露Mongodb中的数据库信息。

【漏洞对象】MongoDB 【漏洞描述】 黑客可以在未授权的情况下重装网站系统，从而控制整个服务器：获取数据、修改数据、删除数据等。

MongoDB是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。 MongoDB 2.4.0至2.4.4版本中的scripting/engine_v8.h文件中的find属性中存在拒绝服务漏洞。远程经过授权的攻击者可借助无效的RefDB对象利用该漏洞造成拒绝服务（未初始化指针引用和服务器崩溃）或可能执行任意代码。