CVE-2018-20805 – Invariant with $elemMatch
https://notcve.org/view.php?id=CVE-2018-20805
A user authorized to perform database queries may trigger denial of service by issuing specially crafted queries, which perform an $elemMatch . This issue affects MongoDB Server v4.0 versions prior to 4.0.5 and MongoDB Server v3.6 versions prior to 3.6.10. Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que llevan a cabo un $elemMatch. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.5; versiones v3.6 anteriores a 3.6.10. Este problema afecta a: MongoDB Server de MongoDB Inc versiones 3.6 anteriores a 3.6.10; versiones 4.0 anteriores a 4.0.5 • https://jira.mongodb.org/browse/SERVER-38164 • CWE-834: Excessive Iteration •
CVE-2018-20802 – Post-auth queries on compound index may crash mongod
https://notcve.org/view.php?id=CVE-2018-20802
A user authorized to perform database queries may trigger denial of service by issuing specially crafted queries with compound indexes affecting QueryPlanner. This issue affects MongoDB Server v3.6 versions prior to 3.6.9 and MongoDB Server v4.0 versions prior to 4.0.3. Un usuario autorizado que lleva a cabo consultas en la bases de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas con índices compuestos afectando a QueryPlanner. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v3.6 anteriores a 3.6.9, versiones v4.0 anteriores a 4.0.3 • https://jira.mongodb.org/browse/SERVER-36993 • CWE-394: Unexpected Status Code or Return Value •
CVE-2018-20804 – Invariant failure in applyOps
https://notcve.org/view.php?id=CVE-2018-20804
A user authorized to perform database queries may trigger denial of service by issuing specially crafted applyOps invocations. This issue affects MongoDB Server v4.0 versions prior to 4.0.10 and MongoDB Server v3.6 versions prior to 3.6.13. Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir invocaciones de applyOps especialmente diseñadas. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.10; versiones v3.6 anteriores a 3.6.13 • https://jira.mongodb.org/browse/SERVER-35636 • CWE-20: Improper Input Validation •
CVE-2020-7926 – Specific query can cause a DoS against MongoDB Server
https://notcve.org/view.php?id=CVE-2020-7926
A user authorized to perform database queries may cause denial of service by issuing a specially crafted query which violates an invariant in the server selection subsystem. This issue affects MongoDB Server v4.4 versions prior to 4.4.1. Versions before 4.4 are not affected. Un usuario autorizado que lleva a cabo consultas en la base de datos puede causar una denegación de servicio al emitir una consulta especialmente diseñada que viola una invariante en el subsistema de selección del servidor. Este problema afecta a: MongoDB Server versiones 4.4 anteriores a 4.4.1. • https://jira.mongodb.org/browse/SERVER-50170 • CWE-755: Improper Handling of Exceptional Conditions •
CVE-2020-7925 – Denial of Service when processing malformed Role names
https://notcve.org/view.php?id=CVE-2020-7925
Incorrect validation of user input in the role name parser may lead to use of uninitialized memory allowing an unauthenticated attacker to use a specially crafted request to cause a denial of service. This issue affects MongoDB Server v4.4 versions prior to 4.4.0-rc12; MongoDB Server v4.2 versions prior to 4.2.9. Una comprobación inapropiada de la entrada del usuario en el analizador de nombres de funciones puede conllevar al uso de memoria no inicializada, permitiendo a un atacante no autenticado usar una petición especialmente diseñada para causar una denegación de servicio. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.4 anteriores a 4.4.0-rc12; versiones v4.2 anteriores a 4.2.9 • https://jira.mongodb.org/browse/SERVER-49142 • CWE-20: Improper Input Validation CWE-475: Undefined Behavior for Input to API •