BDU:2019-04702

Опубликовано: 15 июл. 2019

Источник: fstec

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость документоориентированной системы управления базами данных MongoDB связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специального приложения

Вендор

MongoDB Inc.

Наименование ПО

MongoDB

Версия ПО

от 3.4.0 до 3.4.22 (MongoDB)

от 3.6.0 до 3.6.14 (MongoDB)

от 4.0.0 до 4.0.11 (MongoDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://jira.mongodb.org/browse/SERVER-42233

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-2390
CVE

EPSS

Процентиль: 59%

0.00381

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2019-2390

CVSS3: 8.2

nvd

больше 6 лет назад

An unprivileged user or program on Microsoft Windows which can create OpenSSL configuration files in a fixed location may cause utility programs shipped with MongoDB server to run attacker defined code as the user running the utility. This issue MongoDB Server v4.0 versions prior to 4.0.11; MongoDB Server v3.6 versions prior to 3.6.14 and MongoDB Server v3.4 prior to 3.4.22.

GHSA-59q4-q97g-jqjq

CVSS3: 7.8

github

больше 3 лет назад

An unprivileged user or program on Microsoft Windows which can create OpenSSL configuration files in a fixed location may cause utility programs shipped with MongoDB server versions less than 4.0.11, 3.6.14, and 3.4.22 to run attacker defined code as the user running the utility.