Descripción: MongoDB, un sistema de base de datos orientado a documentos, está escuchando en el puerto remoto, y está configurado para permitir conexiones sin ningún autenticación. Un atacante remoto puede conectarse al sistema de base de datos para crear, leer, actualizar y eliminar documentos, colecciones y bases de datos.

CVE: N/A
Factor de Riesgo: Medio
Valor CVSS Base: 6.4

Solución:

  1. Iniciar una instancia de mongod con el control de acceso deshabilitado con el comando:
    mongod –port 27017 –dbpath /data/db1
  2. Conectarse a la instancia
    mongo –port 27017
    En caso de que la base de datos se encuentre alojada en otro servidor se debe usar la bandera –host
  3. En la base de datos admin añadir un usuario con el rol userAdminAnyDatabase:
  4. Reiniciar la instancia de mongod con la bandera –auth, o agregrando la siguiente linea si se usa un archivo de configuración:
    mongod –auth –port 27017 –dbpath /data/db1
  5. Crear los usuarios que se requieran según los roles que se manejen.

Referencias:
https://docs.mongodb.com/manual/tutorial/enable-authentication/

1 Response Comment

  • John04/09/2018 at 9:18 pm

    Buena tarde, pregunta, ¿el certificado que solicita puede ser auto firmado?

    Reply

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like