查看: 10431|回复: 7

漏洞预警:MongoDB phpMoAdmin曝远程代码执行漏洞(高危0day)

[复制链接]
  • TA的每日心情
    奋斗
    2016-7-18 11:00
  • 签到天数: 154 天

    [LV.7]常住居民III

    发表于 2015-3-4 14:57:13 | 显示全部楼层 |阅读模式
    漏洞预警:MongoDB phpMoAdmin曝远程代码执行漏洞(高危0day)

    cindy  2015-03-04 发现6个不明物体 漏洞资讯               




    大约2个星期前,有超过40000家企业的MongoDB被发现易受黑客的攻击,而就在今天由于黑市上流传的一个高危0day漏洞又一次将MongoDB的用户置于了危险境地。

    FreeBuf科普:MongoDB与phpMoAdmin

    MongoDB是IT行业中流行的一种开源NoSQL数据库,其数据存储方式非常灵活,广泛应用于不同规模大小的公司中。其所有的数据持久操作都无需开发人员手动编写SQL语句,直接调用方法即可轻松的实现CRUD操作。
    phpMoAdmin是一个免费、开源、以PHP为基础、基于AJAX的MongoDBGUI管理工具,管理者可轻松管理NoSQL数据库。


    phpMoAdmin工具上存在0day漏洞

    绰号为sp1nlock的黑客在phpMoAdmin上发现了一个远程代码执行0day漏洞,攻击者可以利用该漏洞劫持运行phpMoAdmin工具的网站。

    该0day漏洞仍然有效,黑市有售

    在写这篇文章时,我们还不知道phpMoAdmin开发者是否有意识到工具中存在0day漏洞,但确定的是该0day漏洞正在黑市上大量贩卖,并据黑市管理者证实该漏洞确实可以用。

    最为不幸的是,到目前为止还没有任何人发布相关的补丁,也就是说所有的MongoDB用户还处在危险之中。



    安全建议

    为了数据库的安全,建议MongoDB用户暂时不要使用phpMoAdmin工具,直至开发者发布修复补丁。

    但是如果你还想继续使用phpMoAdmin工具怎么办呢?暂时使用其他免费MongoDB GUI工具吧,具体如下:
    RockMongo
    MongoVUE
    Mongo-Express
    UMongo
    Genghis

    还有一个方法:使用分布式配置密码(htaccess password)限制未经授权的访问moadmin.php文件。

    [参考来源thehackernews,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 07:38:04 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 20:06:23 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-6-28 21:08:32 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 21:18:50 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-29 08:05:46 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-2 10:55:40 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-5-10 14:17
  • 签到天数: 122 天

    [LV.7]常住居民III

    发表于 2016-3-31 08:36:36 | 显示全部楼层
    mongodb这么反人类的东西配置起来虐哭了~~
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 06:44 , Processed in 0.019962 second(s), 12 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部