Vulnerabilidad en MongoDB Server (CVE-2025-6709)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

26/06/2025

Última modificación:

26/06/2025

Descripción

MongoDB Server es susceptible a una vulnerabilidad de denegación de servicio debido al manejo incorrecto de valores de fecha específicos en la entrada JSON al usar la autenticación OIDC. Esto puede reproducirse mediante el shell de Mongo para enviar u payload JSON maliciosa, lo que provoca un fallo invariante y un bloqueo del servidor. Este problema afecta a las versiones 7.0 y 8.0 de MongoDB Server anteriores a la 7.0.17 y anteriores a la 8.0.5 de MongoDB Server. El mismo problema afecta a las versiones 6.0 y 6.0.21 de MongoDB Server, pero un atacante solo puede inducir la denegación de servicio después de la autenticación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://jira.mongodb.org/browse/SERVER-106748