PT-2012-40: Неавторизованное удаленное выполнение кода в MongoDB Уязвимое ПОMongoDB Версия: 2.x и более ранняяСсылка: http://www.mongodb.org/Рейтинг опасностиУровень опасности: Высокий Воздействие: Неавторизованное удаленное выполнение кода Вектор атаки: УдаленныйCVSS v2: Base Score: 8.3 Vector: (AV:AN/AC:L/AU:N/C:C/I:C/A:C) CVE: отсутствуетОписание программыMongoDB - документо-ориентированная система управления базами данных (СУБД) с открытым исходным кодом, не требующая описания схемы таблиц. Описание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Неавторизованное удаленное выполнение кода" в приложении MongoDB.Если обратиться к REST-интерфейсу, который обычно запускается на 28017 порту, то можно выполнять SSJS-код.РешениеУстановите последнюю версию приложенияСтатус уведомления 10.09.2012 - Производителю отправлены детали уязвимости 13.02.2013 - Производитель выпустил исправление 10.07.2013 - Публикация уязвимости БлагодарностиУязвимость обнаружил Михаил Фирстов (Исследовательский центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2012-40 Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/