6 results (0.018 seconds)

CVSS: 7.1EPSS: 0%CPEs: 3EXPL: 0

An authenticated user without any specific authorizations may be able to repeatedly invoke the features command where at a high volume may lead to resource depletion or generate high lock contention. This may result in denial of service and in rare cases could result in id field collisions. This issue affects MongoDB Server v5.0 versions prior to and including 5.0.3; MongoDB Server v4.4 versions prior to and including 4.4.9; MongoDB Server v4.2 versions prior to and including 4.2.16 and MongoDB Server v4.0 versions prior to and including 4.0.28 Un usuario autenticado sin ninguna autorización específica puede ser capaz de invocar repetidamente el comando features donde a un alto volumen puede conllevar a un agotamiento de recursos o generar una alta contención de bloqueos. Esto puede resultar en una denegación de servicio y, en casos raros, podría resultar en colisiones del campo id • https://jira.mongodb.org/browse/SERVER-59294 • CWE-770: Allocation of Resources Without Limits or Throttling •

CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0

The client in MongoDB uses world-readable permissions on .dbshell history files, which might allow local users to obtain sensitive information by reading these files. El cliente en MongoDB utiliza permisos accesibles a todos en archivos históricos .dbshell, lo que podría permitir a usuarios locales obtener información sensible leyendo estos archivos. • http://www.openwall.com/lists/oss-security/2016/07/29/4 http://www.openwall.com/lists/oss-security/2016/07/29/8 http://www.securityfocus.com/bid/92204 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=832908 https://bugzilla.redhat.com/show_bug.cgi?id=1362553 https://github.com/mongodb/mongo/commit/035cf2afc04988b22cb67f4ebfd77e9b344cb6e0 https://jira.mongodb.org/browse/SERVER-25335 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5MCE2ZLFBNOK3TTWS • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.0EPSS: 2%CPEs: 10EXPL: 0

MongoDB before 2.4.13 and 2.6.x before 2.6.8 allows remote attackers to cause a denial of service via a crafted UTF-8 string in a BSON request. MongoDB anterior a 2.4.13 y 2.6.x anterior a 2.6.8 permite a atacantes remotos causar una denegación de servicio a través de una cadena UTF-8 manipulada en una solicitud BSON. • http://lists.fedoraproject.org/pipermail/package-announce/2015-March/152493.html http://lists.fedoraproject.org/pipermail/package-announce/2015-March/153690.html http://www.securitytracker.com/id/1034466 http://www.splunk.com/view/SP-CAAAPC3 https://jira.mongodb.org/browse/SERVER-17264 https://security.gentoo.org/glsa/201611-13 • CWE-20: Improper Input Validation •

CVSS: 6.4EPSS: 2%CPEs: 23EXPL: 2

The default configuration for MongoDB before 2.3.2 does not validate objects, which allows remote authenticated users to cause a denial of service (crash) or read system memory via a crafted BSON object in the column name in an insert command, which triggers a buffer over-read. La configuración por defecto para MongoDB anterior a 2.3.2 no valida objetos, lo que permite a usuarios remotos autenticados causar una denegación de servicio (caída) o leer la memoria del sistema a través de un objeto BSON manipulado en el nombre de columna en un comando "insert", lo que provoca una sobrelectura de buffer. • http://blog.ptsecurity.com/2012/11/attacking-mongodb.html http://rhn.redhat.com/errata/RHSA-2014-0230.html http://rhn.redhat.com/errata/RHSA-2014-0440.html http://www.openwall.com/lists/oss-security/2014/01/07/13 http://www.openwall.com/lists/oss-security/2014/01/07/2 http://www.openwall.com/lists/oss-security/2014/01/08/9 https://bugzilla.redhat.com/show_bug.cgi?id=1049748 https://jira.mongodb.org/browse/SERVER-7769 https://access.redhat.com/security/ • CWE-20: Improper Input Validation CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.0EPSS: 0%CPEs: 18EXPL: 1

bson/_cbsonmodule.c in the mongo-python-driver (aka. pymongo) before 2.5.2, as used in MongoDB, allows context-dependent attackers to cause a denial of service (NULL pointer dereference and crash) via vectors related to decoding of an "invalid DBRef." bson/_cbsonmodule.c en el mongo-python-driver (también conocido como pymongo) anterior a v2.5.2, como es usado en MongoDB, permite a atacantes dependientes del contexto causar una denegación de servicio (referencia NULL y caída de la aplicación) a través de vectores relacionados con la decodificación de un "invalid DBRef". • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=710597 http://lists.opensuse.org/opensuse-updates/2013-06/msg00180.html http://seclists.org/oss-sec/2013/q2/447 http://ubuntu.com/usn/usn-1897-1 http://www.debian.org/security/2013/dsa-2705 http://www.osvdb.org/93804 http://www.securityfocus.com/bid/60252 https://github.com/mongodb/mongo-python-driver/commit/a060c15ef87e0f0e72974c7c0e57fe811bbd06a2 https://jira.mongodb.org/browse/PYTHON-532 https://access.redhat.com/security&#x • CWE-476: NULL Pointer Dereference •