Ops Manager
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.01032
Распределение по критичности
Критический
0
Высокий
0
Средний
3
Низкий
0
Затронутые диапазоны версий
4.2.0–4.2.174.2.0–4.2.24
Также сопоставлено как (исходные строки): ops_manager
Топ уязвимостей
CVE-2020-7927Специально созданные вызовы API могут позволить аутентифицированному пользователю, имеющему привилегию «Владелец организации», получить ключ API с глобальной ролью. Эта проблема затрагивает MongoDB Ops Manager v4.2 версии до 4.2.17 включительно, MongoDB Ops Manager v4.3 версии до 4.3.9 включительно и MongoDB Ops Manager v4.4 версии до 4.4.2 включительно.
CVE-2019-2388В затронутых версиях Ops Manager существует открытый http-маршрут, который может позволить злоумышленникам просматривать определенный журнал доступа общедоступного экземпляра Ops Manager. Эта проблема затрагивает: MongoDB Inc. MongoDB Ops Manager 4.0 версий 4.0.9, 4.0.10 и MongoDB Ops Manager 4.1 версии 4.1.5.
CVE-2021-20335Для MongoDB Ops Manager версий до 4.2.24 включительно с несколькими серверами приложений OM, у которых включен SSL для их процессов MongoDB, обновление до версий MongoDB Ops Manager до 4.4.12 включительно вызывает ошибку, из-за которой Automation считает, что SSL отключается, и может временно отключить SSL для членов кластера. Эта проблема является временной и в конечном итоге исправляется после того, как экземпляры MongoDB Ops Manager завершат обновление до MongoDB Ops Manager 4.4. Кроме того, клиенты должны работать с clientCertificateMode=OPTIONAL / allowConnectionsWithoutCertificates=true, чтобы подвергнуться воздействию. Клиенты, обновляющиеся с Ops Manager 4.2.X до 4.2.24 и, наконец, до Ops Manager 4.4.13+, не подвержены этой проблеме.