CVE-2019-2388 – Potential exposure of log information in Ops Manager
https://notcve.org/view.php?id=CVE-2019-2388
In affected Ops Manager versions there is an exposed http route was that may allow attackers to view a specific access log of a publicly exposed Ops Manager instance. This issue affects: MongoDB Inc. MongoDB Ops Manager 4.0 versions 4.0.9, 4.0.10 and MongoDB Ops Manager 4.1 version 4.1.5. En las versiones de Ops Manager afectadas, existe una ruta http expuesta que puede permitir a los atacantes visualizar un registro de acceso específico de una instancia de Ops Manager expuesta públicamente. Este problema afecta: MongoDB Inc. • https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-4.0.11 • CWE-425: Direct Request ('Forced Browsing') •
CVE-2020-7921 – Administrative action may disable enforcement of per-user IP whitelisting
https://notcve.org/view.php?id=CVE-2020-7921
Improper serialization of internal state in the authorization subsystem in MongoDB Server's authorization subsystem permits a user with valid credentials to bypass IP whitelisting protection mechanisms following administrative action. This issue affects MongoDB Server v4.2 versions prior to 4.2.3; MongoDB Server v4.0 versions prior to 4.0.15; MongoDB Server v4.3 versions prior to 4.3.3and MongoDB Server v3.6 versions prior to 3.6.18. Una serialización inapropiada del estado interno en el subsistema de autorización en el subsistema de autorización en MongoDB Server, permite a un usuario con credenciales no válidas omitir los mecanismos de protección de lista blanca de IP después de una acción administrativa. Este problema afecta a: MongoDB Inc. MongoDB Server versiones 4.2 anteriores a 4.2.3; versiones 4.0 anteriores a 4.0.15; versiones 4.3 anteriores a 4.3.3; versiones 3.6 anteriores a 3.6.18. • https://jira.mongodb.org/browse/SERVER-45472 • CWE-182: Collapse of Data into Unsafe Value CWE-863: Incorrect Authorization •
CVE-2020-12135
https://notcve.org/view.php?id=CVE-2020-12135
bson before 0.8 incorrectly uses int rather than size_t for many variables, parameters, and return values. In particular, the bson_ensure_space() parameter bytesNeeded could have an integer overflow via properly constructed bson input. bson en versiones anteriores a la 0.8 usa incorrectamente int en lugar de size_t para muchas variables, parámetros y valores de retorno. En particular, el parámetro bson_ensure_space () bytesNeeded podría tener un desbordamiento de enteros a través de una entrada bson construida correctamente. • https://bugs.launchpad.net/ubuntu/+source/whoopsie/+bug/1872560 https://github.com/10gen-archive/mongo-c-driver-legacy/commit/1a1f5e26a4309480d88598913f9eebf9e9cba8ca#diff-f7d29a680148f52d6601f59ed787f577 https://launchpadlibrarian.net/474887364/bson-fix-overflow.patch https://usn.ubuntu.com/4450-1 • CWE-190: Integer Overflow or Wraparound •
CVE-2020-7922 – Kubernetes Operator generates potentially insecure certificates
https://notcve.org/view.php?id=CVE-2020-7922
X.509 certificates generated by the MongoDB Enterprise Kubernetes Operator may allow an attacker with access to the Kubernetes cluster improper access to MongoDB instances. Customers who do not use X.509 authentication, and those who do not use the Operator to generate their X.509 certificates are unaffected. This issue affects MongoDB Enterprise Kubernetes Operator version 1.0, MongoDB Enterprise Kubernetes Operator version 1.1, MongoDB Enterprise Kubernetes Operator version 1.2 versions prior to 1.2.4, MongoDB Enterprise Kubernetes Operator version 1.3 versions prior to 1.3.1, 1.2, 1.4 versions prior to 1.4.4. Los certificados X.509 generados por el MongoDB Enterprise Kubernetes Operator pueden permitir a un atacante con acceso al clúster de Kubernetes un acceso inapropiado a instancias de MongoDB. Los clientes que no utilizan la autenticación X.509 y aquellos que no usan el Operator para generar sus certificados X.509 están sin afectación. • https://github.com/mongodb/mongodb-enterprise-kubernetes/releases/tag/1.2.5 • CWE-295: Improper Certificate Validation •
CVE-2019-2391 – JS-bson may incorrectly serialise some requests
https://notcve.org/view.php?id=CVE-2019-2391
Incorrect parsing of certain JSON input may result in js-bson not correctly serializing BSON. This may cause unexpected application behaviour including data disclosure. This issue affects: MongoDB Inc. js-bson library version 1.1.3 and prior to. El análisis incorrecto de determinada entrada JSON puede resultar en que js-bson no serialice correctamente BSON. Esto puede causar un comportamiento inesperado de la aplicación, incluyendo una divulgación de los datos. • https://github.com/mongodb/js-bson/releases/tag/v1.1.4 • CWE-502: Deserialization of Untrusted Data •