[TLP:CLEAR] MongoDB opravuje vysoce závažnou zranitelnost
MongoDB opravuje ve verzi 7.1.0-rc4, 7.0.6, 6.0.14, 5.0.25 a 4.4.29 vysoce závažnou zranitelnost týkající se MongoDB serveru.
Neautentizovanému útočníkovi v lokální síti je umožněno navázat nedůvěryhodné spojení se serverem MongoDB kvůli přeskočení ověření certifikátu protistrany v určitých konfiguracích --tlsCAFile a tls.CAFile [1] [2].
Zranitelnost se nachází v produktu MongoDB Server ve verzích (>=7.0.0 AND <=7.0.5) OR (>=6.0.0 AND <=6.0.13) OR (>=5.0.0 AND <=5.0.24) OR (>=4.4.0 AND <=4.4.28).
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-1351 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 3. 2024.