Vulnerabilidad en MongoDB Enterprise Server (CVE-2024-8013)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
28/10/2024
Última modificación:
31/10/2024
Descripción
Un error en el análisis de consultas de ciertas subcanalizaciones autorreferenciales complejas de $lookup puede dar como resultado que los valores literales en las expresiones de los campos cifrados se envíen al servidor como texto plano en lugar de texto plano. Si esto ocurriera, no se devolvería ni escribiría ningún documento. Este problema afecta al binario mongocryptd (versiones v5.0 anteriores a 5.0.29, versiones v6.0 anteriores a 6.0.17, versiones v7.0 anteriores a 7.0.12 y versiones v7.3 anteriores a 7.3.4) y a las librerías compartidas mongo_crypt_v1.so (versiones v6.0 anteriores a 6.0.17, versiones v7.0 anteriores a 7.0.12 y versiones v7.3 anteriores a 7.3.4) publicadas junto con las versiones de MongoDB Enterprise Server.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mongodb:mongo_crypt_v1.so:*:*:*:*:*:mongodb:*:* | 6.0.0 (incluyendo) | 6.0.17 (excluyendo) |
| cpe:2.3:a:mongodb:mongo_crypt_v1.so:*:*:*:*:*:mongodb:*:* | 7.0.0 (incluyendo) | 7.0.12 (excluyendo) |
| cpe:2.3:a:mongodb:mongo_crypt_v1.so:*:*:*:*:*:mongodb:*:* | 7.3.0 (incluyendo) | 7.3.4 (excluyendo) |
| cpe:2.3:a:mongodb:mongocryptd:*:*:*:*:*:mongodb:*:* | 5.0.0 (incluyendo) | 5.0.29 (excluyendo) |
| cpe:2.3:a:mongodb:mongocryptd:*:*:*:*:*:mongodb:*:* | 6.0.0 (incluyendo) | 6.0.17 (excluyendo) |
| cpe:2.3:a:mongodb:mongocryptd:*:*:*:*:*:mongodb:*:* | 7.0.0 (incluyendo) | 7.0.12 (excluyendo) |
| cpe:2.3:a:mongodb:mongocryptd:*:*:*:*:*:mongodb:*:* | 7.3.0 (incluyendo) | 7.3.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página