Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04979

Опубликовано: 02 мар. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость системы управления базами данных MongoDB связана с некорректной проверкой подлинности сертификата клиента, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, установить TLS-соединение с сервером

Вендор

MongoDB Inc.

Наименование ПО

MongoDB

Версия ПО

от 4.4.0 до 4.4.23 (MongoDB)
от 5.0.0 до 5.0.19 (MongoDB)
от 6.0.0 до 6.0.7 (MongoDB)
от 7.0.0 до 7.0.0-rc2 (MongoDB)
от 7.1.0 до 7.1.0-rc0 (MongoDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

Microsoft Corp Windows -
Apple Inc. MacOS -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://jira.mongodb.org/browse/SERVER-73662
https://jira.mongodb.org/browse/SERVER-77028

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%
0.00469
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-1409

CVSS3: 5.3
ubuntu
больше 2 лет назад

If the MongoDB Server running on Windows or macOS is configured to use TLS with a specific set of configuration options that are already known to work securely in other platforms (e.g. Linux), it is possible that client certificate validation may not be in effect, potentially allowing client to establish a TLS connection with the server that supplies any certificate. This issue affect all MongoDB Server v6.3 versions, MongoDB Server v5.0 versions v5.0.0 to v5.0.14 and all MongoDB Server v4.4 versions.

nvd логотип

CVE-2023-1409

CVSS3: 5.3
nvd
больше 2 лет назад

If the MongoDB Server running on Windows or macOS is configured to use TLS with a specific set of configuration options that are already known to work securely in other platforms (e.g. Linux), it is possible that client certificate validation may not be in effect, potentially allowing client to establish a TLS connection with the server that supplies any certificate. This issue affect all MongoDB Server v6.3 versions, MongoDB Server v5.0 versions v5.0.0 to v5.0.14 and all MongoDB Server v4.4 versions.

debian логотип

CVE-2023-1409

CVSS3: 5.3
debian
больше 2 лет назад

If the MongoDB Server running on Windows or macOS is configured to use ...

github логотип

GHSA-pjfq-h6gx-wrcf

CVSS3: 5.3
github
больше 2 лет назад

If the MongoDB Server running on Windows or macOS is configured to use TLS with a specific set of configuration options that are already known to work securely in other platforms (e.g. Linux), it is possible that client certificate validation may not be in effect, potentially allowing client to establish a TLS connection with the server that supplies any certificate. This issue affect all MongoDB Server v6.3 versions, MongoDB Server v5.0 versions v5.0.0 to v5.0.14 and all MongoDB Server v4.4 versions.

EPSS

Процентиль: 64%
0.00469
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2