Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05059

Опубликовано: 29 авг. 2023
Источник: fstec
CVSS3: 4.2
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость драйверов PHP, C++, Swift, Node.js системы управления базами данных MongoDB, интерпретатора языка программирования PHP связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

ООО «РусБИТех-Астра»
MongoDB Inc.

Наименование ПО

Astra Linux Special Edition
MongoDB C Driver
MongoDB C++ Driver
MongoDB PHP Driver
MongoDB Swift Driver
MongoDB Node.js Driver

Версия ПО

1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 1.0.0 до 1.17.7 (MongoDB C Driver)
от 3.0.0 до 3.7.0 (MongoDB C++ Driver)
от 1.0.0 до 1.9.2 (MongoDB PHP Driver)
от 1.0.0 до 1.1.1 (MongoDB Swift Driver)
от 3.6 до 3.6.10 (MongoDB Node.js Driver)
от 4.0 до 4.17.0 (MongoDB Node.js Driver)
от 5.0 до 5.8.0 (MongoDB Node.js Driver)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://jira.mongodb.org/browse/CDRIVER-3797
https://jira.mongodb.org/browse/CXX-2028
https://jira.mongodb.org/browse/NODE-3356
https://jira.mongodb.org/browse/PHPC-1869
https://jira.mongodb.org/browse/SWIFT-1229
Для ОС Astra Linux:
обновить пакет mongo-c-driver до 1.14.0-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет mongo-c-driver до 1.14.0-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00057
Низкий

4.2 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-32050

CVSS3: 4.2
ubuntu
почти 2 года назад

Some MongoDB Drivers may erroneously publish events containing authentication-related data to a command listener configured by an application. The published events may contain security-sensitive data when specific authentication-related commands are executed. Without due care, an application may inadvertently expose this sensitive information, e.g., by writing it to a log file. This issue only arises if an application enables the command listener feature (this is not enabled by default). This issue affects the MongoDB C Driver 1.0.0 prior to 1.17.7, MongoDB PHP Driver 1.0.0 prior to 1.9.2, MongoDB Swift Driver 1.0.0 prior to 1.1.1, MongoDB Node.js Driver 3.6 prior to 3.6.10, MongoDB Node.js Driver 4.0 prior to 4.17.0 and MongoDB Node.js Driver 5.0 prior to 5.8.0. This issue also affects users of the MongoDB C++ Driver dependent on the C driver 1.0.0 prior to 1.17.7 (C++ driver prior to 3.7.0).

nvd логотип

CVE-2021-32050

CVSS3: 4.2
nvd
почти 2 года назад

Some MongoDB Drivers may erroneously publish events containing authentication-related data to a command listener configured by an application. The published events may contain security-sensitive data when specific authentication-related commands are executed. Without due care, an application may inadvertently expose this sensitive information, e.g., by writing it to a log file. This issue only arises if an application enables the command listener feature (this is not enabled by default). This issue affects the MongoDB C Driver 1.0.0 prior to 1.17.7, MongoDB PHP Driver 1.0.0 prior to 1.9.2, MongoDB Swift Driver 1.0.0 prior to 1.1.1, MongoDB Node.js Driver 3.6 prior to 3.6.10, MongoDB Node.js Driver 4.0 prior to 4.17.0 and MongoDB Node.js Driver 5.0 prior to 5.8.0. This issue also affects users of the MongoDB C++ Driver dependent on the C driver 1.0.0 prior to 1.17.7 (C++ driver prior to 3.7.0).

debian логотип

CVE-2021-32050

CVSS3: 4.2
debian
почти 2 года назад

Some MongoDB Drivers may erroneously publish events containing authent ...

github логотип

GHSA-vxvm-qww3-2fh7

CVSS3: 4.2
github
почти 2 года назад

MongoDB Driver may publish events containing authentication-related data

EPSS

Процентиль: 18%
0.00057
Низкий

4.2 Medium

CVSS3

4.6 Medium

CVSS2