ALT-PU-2024-15966-3

BDU:2024-07683

MEDIUM6.7

Уязвимость системы управления базами данных MongoDB, существующая из-за проблемы с управлением процессом, позволяющая нарушителю загрузить произвольные библиотеки и получить полный контроль над приложением

Опубликовано: 2024-10-03

CVSS 3.xСРЕДНЯЯ 6.7

CVSS:3.x/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:L/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2024-8207

BDU:2024-09752

MEDIUM6.8

Уязвимость сервера системы управления базами данных MongoDB, связанная с неправильной нейтрализацией нулевых байтов при обработке данных BSON формата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Опубликовано: 2024-11-18

CVSS 3.xСРЕДНЯЯ 6.8

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:H

CVSS 2.0СРЕДНЯЯ 6.6

CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:N/A:C

Ссылки

CVE-2024-10921

BDU:2025-03803

LOW3.3

Уязвимость двоичного файла mongocryptd и библиотеки mongo crypt v1.so системы управления базами данных MongoDB, связанная с передачей критичной информации открытым текстом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-04-07

CVSS 3.xНИЗКАЯ 3.3

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 1.7

CVSS:2.0/AV:L/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2024-8013

CVE-2024-10921

HIGH8.1

An authorized user may trigger crashes or receive the contents of buffer over-reads of Server memory by issuing specially crafted requests that construct malformed BSON in the MongoDB Server. This issue affects MongoDB Server v5.0 versions prior to 5.0.30 , MongoDB Server v6.0 versions prior to 6.0.19, MongoDB Server v7.0 versions prior to 7.0.15 and MongoDB Server v8.0 versions prior to and including 8.0.2.

Опубликовано: 2024-11-14Изменено: 2025-10-01

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H

Ссылки

https://jira.mongodb.org/browse/SERVER-96419

CVE-2024-8013

LOW3.3

A bug in query analysis of certain complex self-referential $lookup subpipelines may result in literal values in expressions for encrypted fields to be sent to the server as plaintext instead of ciphertext. Should this occur, no documents would be returned or written. This issue affects mongocryptd binary (v5.0 versions prior to 5.0.29, v6.0 versions prior to 6.0.17, v7.0 versions prior to 7.0.12 and v7.3 versions prior to 7.3.4) and mongo_crypt_v1.so shared libraries (v6.0 versions prior to 6.0.17, v7.0 versions prior to 7.0.12 and v7.3 versions prior to 7.3.4) released alongside MongoDB Enterprise Server versions.

Опубликовано: 2024-10-28Изменено: 2024-10-31

CVSS 3.xНИЗКАЯ 3.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

https://jira.mongodb.org/browse/SERVER-96254

CVE-2024-8207

MEDIUM6.7

In certain highly specific configurations of the host system and MongoDB server binary installation on Linux Operating Systems, it may be possible for a unintended actor with host-level access to cause the MongoDB Server binary to load unintended actor-controlled shared libraries when the server binary is started, potentially resulting in the unintended actor gaining full control over the MongoDB server process. This issue affects MongoDB Server v5.0 versions prior to 5.0.14 and MongoDB Server v6.0 versions prior to 6.0.3. Required Configuration: Only environments with Linux as the underlying operating system is affected by this issue

Опубликовано: 2024-08-27Изменено: 2025-05-16

CVSS 3.xСРЕДНЯЯ 6.7

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Ссылки

Обновление пакета mongo5.0 в ветке p11

Закрытые проблемы (6)