Все бюллетени/p11/ALT-PU-2025-16534-1
ALT-PU-2025-16534-1

Обновление пакета mongo5.0 в ветке p11

Версия5.0.31-alt1
Задание#371093
Опубликовано2025-01-27
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (10)

BDU:2025-03885
HIGH8.1

Уязвимость класса SSLManagerOpenSSL системы управления базами данных MongoDB, позволяющая нарушителю обойти ограничения безопасности

Опубликовано: 2025-05-19Изменено: 2025-08-13
CVSS 3.xВЫСОКАЯ 8.1
CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0ВЫСОКАЯ 7.6
CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C
Ссылки
BDU:2025-06143
LOW3.1

Уязвимость системы управления базами данных MongoDB, связанная с ошибками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-05-29
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0НИЗКАЯ 2.1
CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:N/A:N
Ссылки
BDU:2025-06209
MEDIUM6.5

Уязвимость функции explain системы управления базами данных MongoDB, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-05-30
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:C
Ссылки
BDU:2025-06210
HIGH7.5

Уязвимость утилиты для обработки фрагментов Mongos системы управления базами данных MongoDB, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-05-30
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
BDU:2025-11759
MEDIUM4.2

Уязвимость системы управления базами данных MongoDB, связанная с неправильной авторизацией, позволяющая нарушителю обойти внедренные ограничения безопасности

Опубликовано: 2025-09-26
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
CVSS 2.0НИЗКАЯ 3.6
CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:P/A:N
Ссылки
CVE-2025-3082
MEDIUM5.4

A user authorized to access a view may be able to alter the intended collation, allowing them to access to a different or unintended view of underlying data. This issue affects MongoDB Server v5.0 version prior to 5.0.31, MongoDB Server v6.0 version prior to 6.0.20, MongoDB Server v7.0 version prior to 7.0.14 and MongoDB Server v7.3 versions prior to 7.3.4.

Опубликовано: 2025-04-01Изменено: 2025-09-22
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2025-3083
HIGH7.5

Specifically crafted MongoDB wire protocol messages can cause mongos to crash during command validation. This can occur without using an authenticated connection. This issue affects MongoDB v5.0 versions prior to 5.0.31,  MongoDB v6.0 versions prior to 6.0.20 and MongoDB v7.0 versions prior to 7.0.16

Опубликовано: 2025-04-01Изменено: 2025-09-22
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2025-3084
MEDIUM6.5

When run on commands with certain arguments set, explain may fail to validate these arguments before using them. This can lead to crashes in router servers. This affects MongoDB Server v5.0 prior to 5.0.31, MongoDB Server v6.0 prior to 6.0.20, MongoDB Server v7.0 prior to 7.0.16 and MongoDB Server v8.0 prior to 8.0.4

Опубликовано: 2025-04-01Изменено: 2025-09-24
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2025-3085
CRITICAL9.8

A MongoDB server under specific conditions running on Linux with TLS and CRL revocation status checking enabled, fails to check the revocation status of the intermediate certificates in the peer's certificate chain. In cases of MONGODB-X509, which is not enabled by default, this may lead to improper authentication. This issue may also affect intra-cluster authentication. This issue affects MongoDB Server v5.0 versions prior to 5.0.31, MongoDB Server v6.0 versions prior to 6.0.20, MongoDB Server v7.0 versions prior to 7.0.16 and MongoDB Server v8.0 versions prior to 8.0.4. Required Configuration : MongoDB Server must be running on Linux Operating Systems and CRL revocation status checking must be enabled

Опубликовано: 2025-04-01Изменено: 2025-09-24
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2025-6707
MEDIUM5.4

Under certain conditions, an authenticated user request may execute with stale privileges following an intentional change by an authorized administrator. This issue affects MongoDB Server v5.0 version prior to 5.0.31, MongoDB Server v6.0 version prior to 6.0.24, MongoDB Server v7.0 version prior to 7.0.21 and MongoDB Server v8.0 version prior to 8.0.5.

Опубликовано: 2025-06-26Изменено: 2025-09-26
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки