2 results (0.004 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

An issue was discovered in the BSON ObjectID (aka bson-objectid) package 1.3.0 for Node.js. ObjectID() allows an attacker to generate a malformed objectid by inserting an additional property to the user-input, because bson-objectid will return early if it detects _bsontype==ObjectID in the user-input object. As a result, objects in arbitrary forms can bypass formatting if they have a valid bsontype. Se detectó un problema en el paquete BSID ObjectID (también se conoce como bson-objectid) versión 1.3.0 de Node.js. La función ObjectID() permite a un atacante generar un objectid malformado insertando una propiedad adicional a la entrada del usuario, porque bson-objectid retornará antes si detecta _bsontype==ObjectID en el objeto de entrada del usuario. • https://github.com/williamkapke/bson-objectid/issues/30 https://www.npmjs.com/package/bson-objectid • CWE-670: Always-Incorrect Control Flow Implementation •

CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1

BSON injection vulnerability in the legal? function in BSON (bson-ruby) gem before 3.0.4 for Ruby allows remote attackers to cause a denial of service (resource consumption) or inject arbitrary data via a crafted string. Vulnerabilidad de inyección BSON en la función legal? en la gema BSON (bson-ruby) en su versión 3.0.4 para Ruby permite que los atacantes remotos provoquen una denegación de servicio (consumo de recursos) o inyecten datos arbitrarios mediante una cadena manipulada. • http://www.openwall.com/lists/oss-security/2015/06/06/3 http://www.securityfocus.com/bid/75045 https://bugzilla.redhat.com/show_bug.cgi?id=1229750 https://github.com/mongodb/bson-ruby/commit/976da329ff03ecdfca3030eb6efe3c85e6db9999 https://github.com/mongodb/bson-ruby/compare/7446d7c6764dfda8dc4480ce16d5c023e74be5ca...28f34978a85b689a4480b4d343389bf4886522e7 https://sakurity.com/blog/2015/06/04/mongo_ruby_regexp.html • CWE-400: Uncontrolled Resource Consumption •