无认证检测的 MongoDB 服务
critical Nessus 插件 ID 81777
语言:
简介
远程主机正在运行未启用认证的数据库系统。描述
面向文档的数据库系统 MongoDB 正在远程端口上监听,其被配置为允许无任何认证的连接。因此,远程攻击者可连接到该数据库系统,以便创建、读取、更新和删除文档、连接及数据库。5.0 版本已弃用 Nessus 用于确定 MongoDB 实例是否易受攻击的 Opcode。在确定可行的替代代码之前,请在使用 MongoDB v5.0 或更高版本时手动确认是否已启用身份验证。
解决方案
启用认证或限制对 MongoDB 服务的访问权限。另见
插件详情
严重性: Critical
ID: 81777
文件名: mongodb_authentication_disabled.nasl
版本: 1.8
类型: remote
系列: Databases
发布时间: 2015/3/12
最近更新时间: 2022/11/30
配置: 启用全面检查
支持的传感器: Nessus
风险信息
CVSS 分数理由: Default credentials
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: manual
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: cpe:/a:mongodb:mongodb
被 Nessus 利用: true