CVE-2021-21422

Versões do mongo-express anteriores à v1.0.0-alpha.4

A vulnerabilidade diz respeito a uma interface de administração do MongoDB baseada na web, na qual são possíveis dois tipos de ataques XSS. Quando o conteúdo de uma célula excede o tamanho permitido, clicar em uma linha exibe o documento completo sem escape, mas isso requer a interação do administrador na célula. Além disso, células de dados identificadas como mídia são renderizadas como mídia sem serem sanitizadas, permitindo possíveis ataques. Um usuário não autorizado pode explorar isso enviando uma grande quantidade de dados em um campo de um documento, usando uma carga útil com JavaScript incorporado para exportar uma coleção para o invasor sem o conhecimento do administrador. Outros tipos de ataques, como excluir um banco de dados ou uma coleção, também são possíveis.

Para versões anteriores à v1.0.0-alpha.4, atualize para a v1.0.0-alpha.4 para resolver o problema. Como solução temporária, considere restringir o acesso à interface afetada até que a atualização seja aplicada. Evite usar a interface para renderizar mídia ou documentos grandes até que o problema seja resolvido.