Mongodb
Уязвимости
57
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.44543
Распределение по критичности
Критический
4
Высокий
11
Средний
40
Низкий
1
Также сопоставлено как (исходные строки): mongodb
Топ уязвимостей
CVE-2025-3085Сервер MongoDB в определенных условиях, работающий под управлением Linux с включенной проверкой статуса отзыва TLS и CRL, не проверяет статус отзыва промежуточных сертификатов в цепочке сертификатов пира. В случае MONGODB-X509, который не включен по умолчанию, это может привести к неправильной аутентификации. Эта проблема также может повлиять на аутентификацию внутри кластера. Данная проблема затрагивает версии MongoDB Server v5.0 до 5.0.31, MongoDB Server v6.0 до 6.0.20, MongoDB Server v7.0 до 7.0.16 и MongoDB Server v8.0 до 8.0.4.
Требуемая конфигурация: MongoDB Server должен работать на операционных системах Linux, а проверка статуса отзыва CRL должна быть включена.
CVE-2024-8654MongoDB Server может получить доступ к неинициализированной области памяти, что приведет к неожиданному поведению, когда в внутренней стадии агрегации вызываются нулевые аргументы. Эта проблема затронула MongoDB Server v6.0 version 6.0.3.
CVE-2024-1351При определенных настройках --tlsCAFile и tls.CAFile сервер MongoDB может пропустить проверку сертификата партнера, что может привести к успешному созданию ненадежных соединений. Это может существенно снизить гарантии безопасности, предоставляемые TLS, и открыть соединения, которые должны были быть закрыты из-за неудачной проверки сертификата. Эта проблема затрагивает версии MongoDB Server v7.0 до и включая 7.0.5, MongoDB Server v6.0 до и включая 6.0.13, MongoDB Server v5.0 до и включая 5.0.24 и MongoDB Server v4.4 до и включая 4.4.28.
Требуемая конфигурация: Процесс сервера позволит входящим соединениям пропустить проверку сертификата партнера, если процесс сервера был запущен с включенным TLS (net.tls.mode установлен в allowTLS, preferTLS или requireTLS) и без настроенного net.tls.CAFile.
CVE-2015-7882Неправильная обработка аутентификации LDAP в MongoDB Server версий с 3.0.0 по 3.0.6 позволяет неаутентифицированному клиенту получить несанкционированный доступ.
CVE-2024-10921Авторизованный пользователь может вызывать сбои или получать содержимое буфера при чтении из памяти сервера, отправляя специально созданные запросы, которые формируют неправильный BSON в MongoDB Server. Эта проблема затрагивает MongoDB Server v5.0 версий до 5.0.30, MongoDB Server v6.0 версий до 6.0.19, MongoDB Server v7.0 версий до 7.0.15 и MongoDB Server v8.0 версий до 8.0.2 включительно.
CVE-2024-7553Неправильная проверка файлов, загруженных из локального ненадежного каталога, может привести к локальному повышению привилегий, если базовая операционная система — Windows. Это может привести к тому, что приложение будет выполнять произвольное поведение, определяемое содержимым ненадежных файлов. Эта проблема затрагивает MongoDB Server v5.0 версий до 5.0.27, MongoDB Server v6.0 версий до 6.0.16, MongoDB Server v7.0 версий до 7.0.12, MongoDB Server v7.3 версий до 7.3.3, MongoDB C Driver версий до 1.26.2 и MongoDB PHP Driver версий до 1.18.1.
Необходимая конфигурация:
Эта проблема затрагивает только среды с Windows в качестве базовой операционной системы.
CVE-2025-3083Специально созданные сообщения по протоколу wire MongoDB могут вызвать сбой mongos во время валидации команд. Это может произойти без использования аутентифицированного соединения. Эта проблема затрагивает версии MongoDB v5.0 до 5.0.31, MongoDB v6.0 до 6.0.20 и MongoDB v7.0 до 7.0.16.
CVE-2024-3372Неправильная проверка определенных входных метаданных может привести к тому, что сервер некорректно сериализует BSON. Это можно выполнить до аутентификации, что может вызвать неожиданное поведение приложения, включая недоступность ответов serverStatus. Проблема затрагивает MongoDB Server v7.0 версий до 7.0.6, MongoDB Server v6.0 версий до 6.0.14 и MongoDB Server v.5.0 версий до 5.0.25.
CVE-2023-1409Если сервер MongoDB, работающий на Windows или macOS, настроен на использование TLS с конкретным набором опций конфигурации, которые уже известны как безопасные на других платформах (например, Linux), возможно, что проверка сертификатов клиентов может не осуществляться, что потенциально позволяет клиенту установить TLS-соединение с сервером, который предоставляет любой сертификат.
Эта проблема затрагивает все версии MongoDB Server v6.3, версии MongoDB Server v5.0 от v5.0.0 до v5.0.14 и все версии MongoDB Server v4.4.
CVE-2023-0437При вызове bson_utf8_validate на некоторых входных данных может возникнуть цикл с условием выхода, которое не может быть достигнуто, т.е. бесконечный цикл. Эта проблема затрагивает все версии MongoDB C Driver до версии 1.25.0.
CVE-2021-32040Возможно, что чрезвычайно длинный конвейер агрегации в сочетании с определенной стадией/оператором может вызвать переполнение стека из-за размера кадров стека, используемых этой стадией. Если злоумышленник может вызвать такую агрегацию, он может злонамеренно вывести MongoDB из строя в результате DoS-атаки. Эта уязвимость затрагивает MongoDB Server v4.4 версии до и включая 4.4.28, MongoDB Server v5.0 версии до 5.0.4 и MongoDB Server v4.2 версии до 4.2.16.
Обходной путь: пользователи версии >= v4.2.16 и все пользователи v4.4 могут добавить --setParameter internalPipelineLengthLimit=50 вместо значения по умолчанию 1000 в mongod при запуске, чтобы предотвратить сбой.
CVE-2020-7925Неправильная проверка вводимых пользователем данных в анализаторе имен ролей может привести к использованию неинициализированной памяти, что позволит не прошедшему проверку подлинности злоумышленнику использовать специально созданный запрос для вызова отказа в обслуживании. Эта проблема затрагивает MongoDB Server v4.4 версии до 4.4.0-rc12; MongoDB Server v4.2 версии до 4.2.9.
CVE-2019-20925Неаутентифицированный клиент может вызвать отказ в обслуживании, отправив специально созданные сообщения протокола wire, которые приводят к неправильному выделению памяти декомпрессором сообщений. Эта проблема затрагивает MongoDB Server v4.2 версий до 4.2.1; MongoDB Server v4.0 версий до 4.0.13; MongoDB Server v3.6 версий до 3.6.15 и MongoDB Server v3.4 версий до 3.4.24.
CVE-2016-3104mongod в MongoDB 2.6, при использовании пользователей в стиле 2.4, и 2.4 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти и завершение процесса), используя представление базы данных в памяти при аутентификации в несуществующей базе данных.
CVE-2019-2386После удаления пользователя в MongoDB Server неправильная инвалидация сеансов авторизации позволяет сеансу аутентифицированного пользователя сохраняться и смешиваться с новыми учетными записями, если эти учетные записи повторно используют имена удаленных. Эта проблема затрагивает MongoDB Server v4.0 версий до 4.0.9; MongoDB Server v3.6 версий до 3.6.13 и MongoDB Server v3.4 версий до 3.4.22.
Временное решение:
После удаления одного или нескольких пользователей перезапустите любые узлы, которые могли иметь активные сеансы авторизации пользователей.
Воздержитесь от создания учетных записей пользователей с тем же именем, что и у ранее удаленных учетных записей.
CVE-2013-1892MongoDB версий до 2.0.9 и 2.2.x до 2.2.4 неправильно проверяет запросы к функции nativeHelper в SpiderMonkey, что позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (недействительный доступ к памяти и сбой сервера) или выполнять произвольный код через специально созданный адрес памяти в первом аргументе.
CVE-2024-8207В определенных, весьма специфических конфигурациях хост-системы и установки бинарного файла сервера MongoDB в операционных системах Linux злоумышленник с доступом на уровне хоста может вызвать загрузку сервером MongoDB общих библиотек, контролируемых злоумышленником, при запуске двоичного файла сервера, что может привести к получению злоумышленником полного контроля над процессом сервера MongoDB. Эта проблема затрагивает сервер MongoDB v5.0 версий до 5.0.14 и сервер MongoDB v6.0 версий до 6.0.3.
Необходимая конфигурация: Эта проблема затрагивает только среды с Linux в качестве базовой операционной системы.
CVE-2025-3084При выполнении команд с установленными определенными аргументами explain может не выполнить проверку этих аргументов перед их использованием. Это может привести к сбоям на сервере роутера. Это затрагивает MongoDB Server v5.0 до 5.0.31, MongoDB Server v6.0 до 6.0.20, MongoDB Server v7.0 до 7.0.16 и MongoDB Server v8.0 до 8.0.4.
CVE-2024-8305Индекс prepareUnique может привести к сбою вторичных узлов из-за неправильного применения ограничений индекса на вторичных узлах, что в крайних случаях может привести к сбою нескольких вторичных узлов, что приведет к отсутствию основных узлов. Эта проблема затрагивает MongoDB Server v6.0 версий до 6.0.17, MongoDB Server v7.0 версий до 7.0.13 и MongoDB Server v7.3 версий до 7.3.4.
CVE-2024-6375В команде для уточнения ключа шарда коллекции отсутствует проверка авторизации. Это может привести к тому, что команда будет выполняться непосредственно на шарде, что приведет либо к снижению производительности запросов, либо к раскрытию границ чанков через побочные каналы времени. Это затрагивает MongoDB Server v5.0 версий до 5.0.22, MongoDB Server v6.0 версий до 6.0.11 и MongoDB Server v7.0 версий до 7.0.3.
CVE-2022-24272Аутентифицированный пользователь может вызвать инвариантное утверждение во время отправки команды из-за некорректной проверки во внешней базе данных $external. Это может привести к отказу в обслуживании mongod или сбою сервера. Эта проблема затрагивает: MongoDB Inc. MongoDB Server v5.0 версий, до v5.0.6 включительно.
CVE-2021-32037Авторизованный пользователь может вызвать инвариант, который может привести к отказу в обслуживании или выходу из сервера, если соответствующий запрос агрегации отправлен в shard. Обычно запросы отправляются через mongos, и требуются специальные привилегии, чтобы узнать адрес shard и войти в shard среды с включенной аутентификацией. Эта проблема затрагивает MongoDB Server v5.0 версии до и включая 5.0.2.
CVE-2021-20330Злоумышленник с базовыми разрешениями CRUD для реплицированной коллекции может выполнить команду applyOps со специально искаженными записями oplog, что приведет к потенциальному отказу в обслуживании на вторичных серверах. Эта проблема затрагивает MongoDB Server v4.0 версии до 4.0.27; MongoDB Server v4.2 версии до 4.2.16; MongoDB Server v4.4 версии до 4.4.9.
CVE-2021-20329Определенные входные данные cstrings могут быть неправильно проверены в драйвере MongoDB Go при маршалинге объектов Go в BSON. Злонамеренный пользователь может использовать объект Go со специальной строкой, чтобы потенциально внедрить дополнительные поля в замаршалированные документы. Эта проблема затрагивает все драйверы MongoDB GO до версии 1.5.0 включительно.
CVE-2021-20326Пользователь, авторизованный для выполнения определенного типа запроса поиска, может вызвать отказ в обслуживании. Эта проблема затрагивает MongoDB Server v4.4 версии до 4.4.4.