【重要更新】MDUT-Extend 发布安全修复版本
【重要更新】MDUT-Extend 发布安全修复版本
S0cke3t前言
近期,关于工具链中存在的“投毒”风险引起了广泛关注。作为一个专注于数据库利用的扩展项目,MDUT-Extend 一直致力于为用户提供高效、便捷的技术支持。
针对昨日暴露的安全风险,我们第一时间进行了全面复盘与重构,并于今日正式发布安全修复版本。
关于安全事件的深度反思
在通报更新细节前,我必须对此次事件进行诚恳的说明。
由于我个人在开发过程中的疏忽大意,未能对外部引入的第三方文件进行细致的代码审计,导致了“投毒”问题的产生,给信任本项目的师傅们带来了潜在威胁。
这是一个代价沉重的教训。作为开发者,我未能尽到“守门人”的责任,对此我深感自责,并向所有受影响的用户致以最诚挚的歉意。
此次更新的核心点
在本次版本迭代中,我们针对潜在的安全威胁进行了彻底的清理,确保工具的纯净与透明:
剔除受污染库 logsec
我们已全面移除了此前使用的 logsec 日志库。经过排查,该第三方库存在安全隐患。
新版本现已改用 Python 标准库 logging 实现所有日志记录功能,从源头上杜绝了外部依赖导致的投毒风险。
MongoBleed 原始利用源码公开
为了增加工具的透明度,我们在本版本中直接提供了 MongoBleed Python 原始利用文件源码(Plugins/Mongodb/MongoBleed.py)。
师傅们可以直接查看逻辑实现,不再需要面对“黑盒”操作,确保每一行代码都运行在自己的掌握中。
支持自主编译与替换
安全不应只停留在承诺上。如果师傅们对预编译版本依旧存有疑虑,我们强烈建议并提供指引,支持大家自行编译源码进行替换(尤其是还在使用v1.3.0版本的师傅)。
透明化是信任的基石,我们希望通过这种方式将选择权交还给每一位用户。
最新更新日志摘要 (2026-03-27)
[修复] 彻底移除 logsec 依赖,重构为标准 logging 模块。
[新增] 释出 MongoBleed 漏洞利用的原始 Python 脚本源码。
[修复] 修复MongoDB存活探测异常问题。
作者寄语
安全工具本身必须是安全的。作为开发者,我(s0cke3t)深知信任建立之难,损毁之易。此次更新不仅是为了修复一个漏洞,更是为了表达一份态度:MDUT-Extend 将始终保持干净与纯粹,接受社区的监督。
建议所有用户尽快下载最新版本,并对照 RELEASE 中的 SHA256 校验值进行比对。
🔗 项目地址:
https://github.com/DeEpinGh0st/MDUT-Extend-Release
感谢大家长久以来的支持与反馈,我们会继续打磨工具,做大家在渗透测试路上的可靠伙伴。
