MongoDB Shell < 2.3.9 控制字符注入（MONGOSH-2024、MONGOSH-2025、MONGOSH-2026）

high Nessus 插件 ID 234125

语言：

简介

远程主机缺少一个安全更新。

描述

远程主机上安装的 MongoDB Shell 版本低于 2.3.9。因此，该应用程序受到 MONGOSH-2024、MONGOSH-2025、MONGOSH-2026 公告中提及的一个漏洞的影响。

- MongoDB Shell 可能容易受到控制字符注入影响，即可控制 mongosh 自动完成功能的攻击者可使用自动完成功能输入及运行混淆的恶意文本。这需要用户交互，形式为用户使用 Tab 键来自动完成作为攻击者准备的自动完成前缀的文本。此问题影响低于 2.3.9 的 mongosh 版本。仅当 mongosh 连接到由攻击者部分或完全控制的集群时，此漏洞才可被利用。(CVE-2025-1691)

- MongoDB Shell 可能容易受到控制字符注入影响，其中控制用户剪贴板的攻击者可以操纵剪贴板，以将文本粘贴至评估任意代码的 mongosh。粘贴的文本中的控制字符可用来混淆恶意代码。此问题影响低于 2.3.9 的 mongosh 版本 (CVE-2025-1692)

- MongoDB Shell 可能容易受到控制字符注入影响，其中控制数据库集群内容的攻击者可将控制字符注入至 shell 输出中。这可导致显示伪造消息，这些消息似乎来自 mongosh 或底层操作系统，可能误导用户执行不安全的操作。仅当 mongosh 连接到由攻击者部分或完全控制的集群时，此漏洞才可被利用。此问题影响低于 2.3.9 的 mongosh 版本 (CVE-2025-1693)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。