Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en lo comandos "saslStart", "saslContinue", "isMaster", "createUser" y "updateUser" en el Controlador MongoDB C# (CVE-2021-20331)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
13/05/2021
Última modificación:
16/09/2024

Descripción

Las versiones específicas del Controlador MongoDB C# pueden publicar erróneamente eventos que contienen datos relacionados con la autenticación en un escucha de comandos configurado por una aplicación. Los eventos publicados pueden contener datos confidenciales para la seguridad cuando comandos tales como "saslStart", "saslContinue", "isMaster", "createUser" y "updateUser" son ejecutados. Sin el debido cuidado, una aplicación puede exponer inadvertidamente esta información relacionada con la autenticación, por ejemplo, escribiéndola en un archivo de registro. Este problema solo surge si una aplicación habilita la funcionalidad command listener (esta no está habilitada por defecto). Este problema afecta al controlador MongoDB C# versiones 2.12 anteriores a 2.12.1 incluyéndola

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mongodb:c\#_driver:*:*:*:*:*:mongodb:*:* 2.12.0 (incluyendo) 2.12.2 (excluyendo)
cpe:2.3:a:mongodb:c\#_driver:2.11.0:-:*:*:*:mongodb:*:*


Referencias a soluciones, herramientas e información