无认证检测的 MongoDB 服务

critical Nessus 插件 ID 81777

简介

远程主机正在运行未启用认证的数据库系统。

描述

面向文档的数据库系统 MongoDB 正在远程端口上监听,其被配置为允许无任何认证的连接。因此,远程攻击者可连接到该数据库系统,以便创建、读取、更新和删除文档、连接及数据库。

5.0 版本已弃用 Nessus 用于确定 MongoDB 实例是否易受攻击的 Opcode。在确定可行的替代代码之前,请在使用 MongoDB v5.0 或更高版本时手动确认是否已启用身份验证。

解决方案

启用认证或限制对 MongoDB 服务的访问权限。

另见

https://www.mongodb.com/

插件详情

严重性: Critical

ID: 81777

文件名: mongodb_authentication_disabled.nasl

版本: 1.10

类型: remote

系列: Databases

发布时间: 2015/3/12

最近更新时间: 2024/6/7

配置: 启用全面检查

支持的传感器: Nessus

风险信息

CVSS 分数理由: Default credentials

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:mongodb:mongodb

被 Nessus 利用: true