24 марта 2013 года была оглашена информация об опасной уязвимости в MongoDB nativeHelper.apply (CVE-2013-1892). В тот же день был опубликован PoC-код эксплойта, а через несколько дней соответствующий модуль включён в комплект Metasploit.
Модуль эксплуатирует функцию nativeHelper из движка SpiderMonkey. Через неё можно запускать на исполнение в MongoDB произвольный код, примерно таким образом:
> run function () { return nativeHelper.apply(run_, arguments); }
Уязвимость относится к MongoDB 2.2.3 и более ранним версиям.
Работа модуля Metasploit показана на видео.