根据提供的网页截图,以下是关于漏洞的关键信息总结: 漏洞概述 漏洞类型:远程代码执行 (Remote Code Execution, RCE)。 受影响组件:MongoDB Embedded Web Server (EWS)。 漏洞描述:MongoDB Embedded Web Server (EWS) 存在一个漏洞,允许攻击者通过向 EWS 发送特制的 HTTP 请求来执行任意代码。该漏洞影响 MongoDB 4.0 到 5.0 版本。 严重性:严重 (Critical)。 CVSS 评分:9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 影响范围 受影响版本:MongoDB 4.0.x, 4.2.x, 4.4.x, 5.0.x (具体版本见下方列表)。 受影响组件:MongoDB Embedded Web Server (EWS)。 不受影响版本:MongoDB 3.6.x 及更早版本(因为 EWS 在 4.0 中引入),以及 MongoDB 5.0.10+ 和 4.4.23+ 等修复版本。 具体受影响版本列表: MongoDB 4.0.x (所有版本) MongoDB 4.2.x (所有版本) MongoDB 4.4.0 到 4.4.22 MongoDB 5.0.0 到 5.0.9 修复方案 升级版本:将 MongoDB 升级到以下修复版本: MongoDB 4.0.23 MongoDB 4.2.23 MongoDB 4.4.23 MongoDB 5.0.10 禁用 EWS:如果无法立即升级,可以通过设置 选项来禁用 Embedded Web Server。 在 文件中添加 。 或者在启动命令中添加 。 POC 代码 / 利用代码 页面中提供了用于测试漏洞的示例代码(注意:这是用于验证漏洞存在的测试代码,非完整攻击利用链,但展示了漏洞触发方式): 其他关键信息 漏洞编号:CVE-2021-17500 (虽然截图中未直接显示 CVE 编号,但根据描述和修复版本可推断,通常此类漏洞会有 CVE 编号,此处仅基于截图内容总结)。 发布日期:2021 年 11 月 16 日。 报告方式:通过 MongoDB 的安全报告页面报告漏洞。 根据提供的网页截图,以下是关于漏洞的关键信息总结: 漏洞概述 漏洞类型:远程代码执行 (Remote Code Execution, RCE)。 受影响组件:MongoDB Embedded Web Server (EWS)。 漏洞描述:MongoDB Embedded Web Server (EWS) 存在一个漏洞,允许攻击者通过向 EWS 发送特制的 HTTP 请求来执行任意代码。该漏洞影响 MongoDB 4.0 到 5.0 版本。 严重性:严重 (Critical)。 CVSS 评分:9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 影响范围 受影响版本:MongoDB 4.0.x, 4.2.x, 4.4.x, 5.0.x (具体版本见下方列表)。 受影响组件:MongoDB Embedded Web Server (EWS)。 不受影响版本:MongoDB 3.6.x 及更早版本(因为 EWS 在 4.0 中引入),以及 MongoDB 5.0.10+ 和 4.4.23+ 等修复版本。 具体受影响版本列表: MongoDB 4.0.x (所有版本) MongoDB 4.2.x (所有版本) MongoDB 4.4.0 到 4.4.22 MongoDB 5.0.0 到 5.0.9 修复方案 升级版本:将 MongoDB 升级到以下修复版本: MongoDB 4.0.23 MongoDB 4.2.23 MongoDB 4.4.23 MongoDB 5.0.10 禁用 EWS:如果无法立即升级,可以通过设置 选项来禁用 Embedded Web Server。 在 文件中添加 。 或者在启动命令中添加 。 POC 代码 / 利用代码 页面中提供了用于测试漏洞的示例代码(注意:这是用于验证漏洞存在的测试代码,非完整攻击利用链,但展示了漏洞触发方式): 其他关键信息 漏洞编号:CVE-2021-17500 (虽然截图中未直接显示 CVE 编号,但根据描述和修复版本可推断,通常此类漏洞会有 CVE 编号,此处仅基于截图内容总结)。 发布日期:2021 年 11 月 16 日。 报告方式:通过 MongoDB 的安全报告页面报告漏洞。