Vulnerabilidad en lo comandos "saslStart", "saslContinue", "isMaster", "createUser" y "updateUser" en el Controlador MongoDB C# (CVE-2021-20331)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
13/05/2021
Última modificación:
16/09/2024
Descripción
Las versiones específicas del Controlador MongoDB C# pueden publicar erróneamente eventos que contienen datos relacionados con la autenticación en un escucha de comandos configurado por una aplicación. Los eventos publicados pueden contener datos confidenciales para la seguridad cuando comandos tales como "saslStart", "saslContinue", "isMaster", "createUser" y "updateUser" son ejecutados. Sin el debido cuidado, una aplicación puede exponer inadvertidamente esta información relacionada con la autenticación, por ejemplo, escribiéndola en un archivo de registro. Este problema solo surge si una aplicación habilita la funcionalidad command listener (esta no está habilitada por defecto). Este problema afecta al controlador MongoDB C# versiones 2.12 anteriores a 2.12.1 incluyéndola
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mongodb:c\#_driver:*:*:*:*:*:mongodb:*:* | 2.12.0 (incluyendo) | 2.12.2 (excluyendo) |
cpe:2.3:a:mongodb:c\#_driver:2.11.0:-:*:*:*:mongodb:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página