Vulnerabilidad en MongoDB (CVE-2025-1693)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

27/02/2025

Última modificación:

27/02/2025

Descripción

El shell de MongoDB puede ser susceptible a la inyección de caracteres de control, en cuyo caso un atacante con control sobre el contenido del clúster de la base de datos puede inyectar caracteres de control en la salida del shell. Esto puede provocar la visualización de mensajes falsificados que parecen originarse en mongosh o en el sistema operativo subyacente, lo que puede inducir a error a los usuarios para que ejecuten acciones inseguras. La vulnerabilidad solo se puede explotar cuando mongosh está conectado a un clúster que está controlado parcial o totalmente por un atacante. Este problema afecta a las versiones de mongosh anteriores a la 2.3.9.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.90 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

3.90

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://jira.mongodb.org/browse/MONGOSH-2026