[TLP:CLEAR] MongoDB opravuje 3 zraniteľnosti
MongoDB verziami 8.0.10, 8.1.1, 7.0.20 a 6.0.23 opravuje 3 zraniteľnosti [1][2][3].
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok vykonávaním pamäťovo náročných operácií [1].
Zraniteľnosť sa nachádza v produkte MongoDB vo verziách >=8.0 AND <8.0.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-6712 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 7. 2025.
Autentizovanému vzdialenému útočníkovi je potenciálne umožnené vykonať DoS útok vykonávaním špeciálne vytvorených SQL dotazov [2].
Zraniteľnosť sa nachádza v produkte MongoDB, >=8.1.0, <8.1.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-7259 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 7. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené blokovať nové pripojenia zasielaním špeciálne vytvorených požiadaviek. Zraniteľnosť je zneužiteľná iba na inštanciách, kde je povolený load balancer [3].
Zraniteľnosť sa nachádza v produkte MongoDB vo verziách (>=8.0 AND <8.0.9) OR (>=7.0 AND <7.0.20) OR (>=6.0 AND <6.0.23).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-6714 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
- CWE-834: Excessive Iteration at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 7. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 8. 7. 2025.
