mongo-express 0.54.0之前的版本

mongo-express 0.54.0之前的版本，通过认证后，在终端使用‘toBSON’方法，可以执行远程命令。

mongo-express是一个MongoDB的Admin Web管理界面，使用NodeJS、Express、Bootstrap3编写而成。

目前mongo-express应该是Github上Star最多的MongoDB admin管理界面。

该漏洞的编号是：CVE-2019-10758，POC近日已在网上公布，NVD评分9.9分。

升级到最新版，在config.js文件中配置强口令，设置受信任的访问源。

腾讯御界可检测此漏洞的攻击。