Vulnerabilidad en Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL (CVE-2019-2390)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/08/2019
Última modificación:
23/01/2024
Descripción
Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL en una ubicación fija puede hacer que los programas de utilidades enviados con el servidor de MongoDB ejecuten código definido por el atacante como el usuario que ejecuta la utilidad. Este problema afecta: MongoDB Inc. Servidor MongoDB versiones 4.0 anteriores a la versión 4.0.11; versiones 3.6 anteriores a la versión 3.6.14; versiones 3.4 anteriores a la versión 3.4.22.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.22 (excluyendo) |
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.14 (excluyendo) |
cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.11 (excluyendo) |
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página