Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL (CVE-2019-2390)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/08/2019
Última modificación:
23/01/2024

Descripción

Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL en una ubicación fija puede hacer que los programas de utilidades enviados con el servidor de MongoDB ejecuten código definido por el atacante como el usuario que ejecuta la utilidad. Este problema afecta: MongoDB Inc. Servidor MongoDB versiones 4.0 anteriores a la versión 4.0.11; versiones 3.6 anteriores a la versión 3.6.14; versiones 3.4 anteriores a la versión 3.4.22.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* 3.4.0 (incluyendo) 3.4.22 (excluyendo)
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* 3.6.0 (incluyendo) 3.6.14 (excluyendo)
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.0.11 (excluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información