Mongodb
Уязвимости
139
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.83007
Распределение по критичности
Критический
6
Высокий
50
Средний
79
Низкий
4
Затронутые диапазоны версий
2.0.0–4.2.183.0.0–3.0.63.4.0–3.4.103.4.0–3.4.193.4.0–3.4.223.4.0–3.4.243.6.0–3.6.103.6.0–3.6.113.6.0–3.6.133.6.0–3.6.153.6.0–3.6.183.6.0–3.6.203.6.0–3.6.213.6.0–3.6.93.6.0–4.4.304.0.0–4.0.254.0.0–4.0.74.0–4.0.194.2.0–4.2.164.2.0–4.2.24.2.0–4.2.94.4.0–4.4.14.4.0–4.4.234.4.0–4.4.29
Также сопоставлено как (исходные строки): mongodb,libbson
Топ уязвимостей
CVE-2025-3085Сервер MongoDB в определенных условиях, работающий под управлением Linux с включенной проверкой статуса отзыва TLS и CRL, не проверяет статус отзыва промежуточных сертификатов в цепочке сертификатов пира. В случае MONGODB-X509, который не включен по умолчанию, это может привести к неправильной аутентификации. Эта проблема также может повлиять на аутентификацию внутри кластера. Данная проблема затрагивает версии MongoDB Server v5.0 до 5.0.31, MongoDB Server v6.0 до 6.0.20, MongoDB Server v7.0 до 7.0.16 и MongoDB Server v8.0 до 8.0.4.
Требуемая конфигурация: MongoDB Server должен работать на операционных системах Linux, а проверка статуса отзыва CRL должна быть включена.
CVE-2024-8654MongoDB Server может получить доступ к неинициализированной области памяти, что приведет к неожиданному поведению, когда в внутренней стадии агрегации вызываются нулевые аргументы. Эта проблема затронула MongoDB Server v6.0 version 6.0.3.
CVE-2024-1351При определенных настройках --tlsCAFile и tls.CAFile сервер MongoDB может пропустить проверку сертификата партнера, что может привести к успешному созданию ненадежных соединений. Это может существенно снизить гарантии безопасности, предоставляемые TLS, и открыть соединения, которые должны были быть закрыты из-за неудачной проверки сертификата. Эта проблема затрагивает версии MongoDB Server v7.0 до и включая 7.0.5, MongoDB Server v6.0 до и включая 6.0.13, MongoDB Server v5.0 до и включая 5.0.24 и MongoDB Server v4.4 до и включая 4.4.28.
Требуемая конфигурация: Процесс сервера позволит входящим соединениям пропустить проверку сертификата партнера, если процесс сервера был запущен с включенным TLS (net.tls.mode установлен в allowTLS, preferTLS или requireTLS) и без настроенного net.tls.CAFile.
BDU:2021-04061Уязвимость системы управления базами данных MongoDB связана с некорректной обработкой индексов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
CVE-2015-7882Неправильная обработка аутентификации LDAP в MongoDB Server версий с 3.0.0 по 3.0.6 позволяет неаутентифицированному клиенту получить несанкционированный доступ.
BDU:2021-02066Уязвимость функции резервного копирования моментальных снимков платформ управления MongoDB Cloud Manager, MongoDB Ops Manager, приложения резервного копирования MongoDB Atlas Legacy Backups и документоориентированной системы управления базами данных MongoDB связана с неправильной обработкой несогласованных специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (сообщения об ошибке «invalid tar header») при загрузки моментального снимка резервной копии с помощью демона mongod
CVE-2025-6706Аутентифицированный пользователь может запустить использование после бесплатного, что может привести к сбою сервера MongoDB и другому неожиданному поведению, даже если у пользователя нет авторизации на отключение сервера.
Крах происходит на затронутых версиях путем выпуска операции агрегирования с использованием конкретной комбинации редко используемых выражений агрегационного конвейера. Эта проблема затрагивает версию MongoDB Server v6.0 до 6.0.21, версию MongoDB Server v7.0 до 7.0.17 и версию MongoDB Server v8.0 до 8.0.4, когда включен движок SBE.
BDU:2026-07604Уязвимость реализации коллекции временных рядов системы управления базами данных MongoDB связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2024-01947Уязвимость системы управления базами данных MongoDB связана с ошибками процедуры подтверждения подлинности TLS сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, установить несанкционированное соединение к серверу MongoDB
CVE-2026-9740Уязвимость в логике проверки BSON от MongoDB Server позволяет неаудовлетворенному пользователю сбиться с процессом Mongod, отправив специально созданное сообщение. Обработка валидатора BSON некоторыми вложенными бинринными структурами данных позволяет неконтролируемую взаимную переработку между функциями проверки, когда каждый повторный вход сбрасывает внутреннее отслеживание глубины.
CVE-2026-8053Выполнение произвольного кода в MongoDB
CVE-2026-4148Уязвимость после использования может быть вызвана в сформулированных кластерах аутентифицированным пользователем с ролью чтения, который выдает специально созданный конвейер $lookup или $графический ток.
CVE-2025-14847Несоответствующие поля длины в заголовках сжатого протокола Zlib могут позволить считывать неинициативизованную кучу памяти неаутентифицированным клиентом. Эта проблема затрагивает все версии MongoDB Server v7.0 до 7.0.28, версии MongoDB Server v8.0 до 8.0.17, версии MongoDB Server v8.2 до 8.2.3, версии MongoDB Server v6.0 до 6.0.27, версии MongoDB Server v5.0 до 5.0.32, версии MongoDB Server v4.4.больше или равны версии 4,0.0 и MongoDB Server v3.6 больше или равные версии 3.6.0.
BDU:2025-03276Уязвимость функции bson_append() библиотеки libbson драйвера MongoDB C Driver системы управления базами данных MongoDB связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании
CVE-2026-1848Соединения, полученные из прокси-порта, могут не учитываться в общих принятых соединениях, что приводит к сбоям сервера, если общее количество подключений превышает доступные ресурсы. Это относится только к соединениям, принятым из прокси-порта, до заголовка протокола прокси.
CVE-2024-10921Авторизованный пользователь может вызывать сбои или получать содержимое буфера при чтении из памяти сервера, отправляя специально созданные запросы, которые формируют неправильный BSON в MongoDB Server. Эта проблема затрагивает MongoDB Server v5.0 версий до 5.0.30, MongoDB Server v6.0 версий до 6.0.19, MongoDB Server v7.0 версий до 7.0.15 и MongoDB Server v8.0 версий до 8.0.2 включительно.
BDU:2025-03885Уязвимость класса SSLManagerOpenSSL системы управления базами данных MongoDB связана с отсутствием проверки отзыва сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности
BDU:2025-02431Уязвимость команды reshardCollection системы управления базами данных MongoDB связана с повторной записью данных в результате недостаточной проверки необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность и доступность защищаемой информации
CVE-2024-7553Неправильная проверка файлов, загруженных из локального ненадежного каталога, может привести к локальному повышению привилегий, если базовая операционная система — Windows. Это может привести к тому, что приложение будет выполнять произвольное поведение, определяемое содержимым ненадежных файлов. Эта проблема затрагивает MongoDB Server v5.0 версий до 5.0.27, MongoDB Server v6.0 версий до 6.0.16, MongoDB Server v7.0 версий до 7.0.12, MongoDB Server v7.3 версий до 7.3.3, MongoDB C Driver версий до 1.26.2 и MongoDB PHP Driver версий до 1.18.1.
Необходимая конфигурация:
Эта проблема затрагивает только среды с Windows в качестве базовой операционной системы.
CVE-2019-2390Непривилегированный пользователь или программа в Microsoft Windows, которая может создавать файлы конфигурации OpenSSL в фиксированном месте, может привести к тому, что служебные программы, поставляемые с MongoDB server, будут запускать определенный злоумышленником код от имени пользователя, запускающего служебную программу. Эта проблема MongoDB Server v4.0 версий до 4.0.11; MongoDB Server v3.6 версий до 3.6.14 и MongoDB Server v3.4 до 3.4.22.
BDU:2025-13337Уязвимость драйвера MongoDB Atlas SQL ODBC Driver системы управления базами данных MongoDB связана с некорректно используемыми стандартными разрешениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
CVE-2026-8336После вызова $_internalJsEmit, который не предназначен для прямого доступа, или определенным образом капердукции функции карты команды, аутентифицированный пользователь может впоследствии сломать менгода, когда серверный движок JavaScript (через $ где, $функцию, Mapreduce сокращение стадии и т. Д.) Используется также определенным образом, что приводит к отказу в обслуживании после аутентичности.
Эта проблема затрагивает версии MongoDB Server v8.2 до 8.2.9 и v8.3 до 8.3.2.
CVE-2025-6714Компонент mongos MongoDB Server может стать не отвечающим на новые подключения из-за неправильной обработки неполных данных. Это затрагивает MongoDB при настройке с поддержкой балансировщика нагрузки. Эта проблема затрагивает MongoDB Server v6.0 до версии 6.0.23, MongoDB Server v7.0 до версии 7.0.20 и MongoDB Server v8.0 до версии 8.0.9.
Требуемая конфигурация:
Это затрагивает сегментированные кластеры MongoDB при настройке с поддержкой балансировщика нагрузки для mongos с использованием HAProxy на указанных портах [1].
Источники:
- [1] https://jira.mongodb.org/browse/SERVER-106753
CVE-2025-6710MongoDB Server может быть подвержен переполнению стека из-за механизма разбора JSON, где специально созданные входы JSON могут вызывать необоснованные уровни рекурсии, что приводит к чрезмерному потреблению пространства. Такие входы могут привести к переполнению стека, что приводит к сбою сервера, что может произойти с предварительным авторизацией. Эта проблема затрагивает версии MongoDB Server v7.0 до 7.0.17 и MongoDB Server v8.0 до 8.0.5.
Такая же проблема затрагивает версии MongoDB Server v6.0 до 6.0.21, но злоумышленник может вызвать отказ в обслуживании только после аутентификации.
CVE-2025-6709Сервер MongoDB подвержен уязвимости отказа в обслуживании из-за неправильной обработки определенных значений даты во входе JSON при использовании аутентификации OIDC. Это может быть воспроизведено с помощью оболочки монго для отправки вредоносной полезной нагрузки JSON, что приводит к инвариантному сбою и сбою сервера. Эта проблема затрагивает версии MongoDB Server v7.0 до 7.0.17 и MongoDB Server v8.0 до 8.0.5.
Та же проблема затрагивает версии MongoDB Server v6.0 до 6.0.21, но злоумышленник может вызвать отказ в обслуживании только после аутентификации.