MongoDB opravuje 5 zraniteľností v rôznych produktoch

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] MongoDB opravuje 5 zraniteľností v rôznych produktoch

MongoDB opravuje 5 zraniteľností v rôznych produktoch. Najzávažnejšie z nich nájdete nižšie, zvyšné sú uvedené na [4][5]. Produkty a ich opravené verzie: MongoDB Server – 7.0.26, 8.0.16, 8.2.2 MongoDB C Driver – 1.30.6, 2.1.2 MongoDB PHP Driver – 2.1.2

MongoDB Server - invariant failure (CVE-2025-13644)

CVSS 7.1 (High)

Autentizovanému vzdialenému útočníkovi s nízkymi právami je z dôvodu nesprávneho vyhodnotenia počtu súborov pri ich dávkovom odstraňovaní umožnené spôsobiť zlyhanie servera [1].

Zraniteľnosť sa nachádza v produkte MongoDB Server vo verziách (>=7.0 AND <7.0.26) OR (>=8.0 AND <8.0.13) OR (>=8.1 AND <8.1.2).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Viac informácií:

CVE-2025-13644 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-617: Reachable Assertion at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 25. 11. 2025.

MongoDB Server - process termination (CVE-2025-13507)

CVSS 7.1 (High)

Autentizovanému vzdialenému útočníkovi s nízkymi právami je umožnené zneužiť chybnú kontrolu veľkosti objektov pri spracovaní časových radov v MongoDB Serveri a odoslať príliš veľký BSON dokument, čo môže spôsobiť ukončenie procesu [2].

Zraniteľnosť sa nachádza v produkte MongoDB Server vo verziách (>=7.0 AND <7.0.26) OR (>=8.0 AND <8.0.16) OR (>=8.2 AND <8.2.1).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Viac informácií:

CVE-2025-13507 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 25. 11. 2025.

MongoDB - invalid memory read (CVE-2025-12119)

CVSS 6.9 (Medium)

Autentizovanému lokálnemu útočníkovi, ktorý môže odosielať bulk operácie do mongodb/mongodb-extension (rozšírenie, ktoré používa MongoDB C Driver a MongoDB PHP Driver), je umožnené zneužiť nesprávne spracovanie nadmerne veľkých parametrov (mongoc_bulk_operation_t), čo môže spôsobiť čítanie neplatnej pamäte a tým pádom zlyhanie aplikácie alebo potenciálne odhalenie citlivých údajov [3].

Zraniteľnosť sa nachádza v produktoch:

mongo-c-driver vo verziách (>=1.9.0 AND <=1.30.5) OR (>=2.0.0 AND <=2.1.1)
mongodb-php-driver vo verziách >=0 AND <=2.1.2

CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N

Viac informácií:

CVE-2025-12119 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-825: Expired Pointer Dereference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 18. 11. 2025.

Odkazy

Za CESNET-CERTS Henrieta Paločková dňa 2. 12. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] MongoDB opravuje 5 zraniteľností v rôznych produktoch

MongoDB Server - invariant failure (CVE-2025-13644)

CVSS 7.1 (High)

MongoDB Server - process termination (CVE-2025-13507)

CVSS 7.1 (High)

MongoDB - invalid memory read (CVE-2025-12119)

CVSS 6.9 (Medium)

Odkazy