CVE-2020-7610
https://notcve.org/view.php?id=CVE-2020-7610
All versions of bson before 1.1.4 are vulnerable to Deserialization of Untrusted Data. The package will ignore an unknown value for an object's _bsotype, leading to cases where an object is serialized as a document rather than the intended BSON type. Todas las versiones de bson anteriores a 1.1.4, son vulnerables a la Deserialización de Datos No Confiables. El paquete ignorará un valor desconocido para un _bsotype de objeto, conllevando a casos donde un objeto es serializado como un documento en lugar del tipo BSON previsto. • https://snyk.io/vuln/SNYK-JS-BSON-561052 • CWE-502: Deserialization of Untrusted Data •
CVE-2015-4411
https://notcve.org/view.php?id=CVE-2015-4411
The Moped::BSON::ObjecId.legal? method in mongodb/bson-ruby before 3.0.4 as used in rubygem-moped allows remote attackers to cause a denial of service (worker resource consumption) via a crafted string. NOTE: This issue is due to an incomplete fix to CVE-2015-4410. El método Moped::BSON::ObjecId.legal? en mongodb/bson-ruby, versiones anteriores a 3.0.4, como es usado en rubygem-moped, permite a atacantes remotos causar una denegación de servicio (consumo de recursos de worker) por medio de una cadena diseñada. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161964.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161987.html http://www.openwall.com/lists/oss-security/2015/06/06/3 http://www.securityfocus.com/bid/75045 https://bugzilla.redhat.com/show_bug.cgi?id=1229706 https://github.com/mongodb/bson-ruby/commit/976da329ff03ecdfca3030eb6efe3c85e6db9999 https://github.com/mongodb/bson-ruby/commit/fef6f75413511d653c76bf924a932374a183a24f#diff-8c8558c185bbb548ccb5a6d6ac4bfee5R191 https:// • CWE-400: Uncontrolled Resource Consumption •
CVE-2019-2389 – Process termination via PID file manipulation
https://notcve.org/view.php?id=CVE-2019-2389
Incorrect scoping of kill operations in MongoDB Server's packaged SysV init scripts allow users with write access to the PID file to insert arbitrary PIDs to be killed when the root user stops the MongoDB process via SysV init. This issue affects MongoDB Server v4.0 versions prior to 4.0.11; MongoDB Server v3.6 versions prior to 3.6.14; MongoDB Server v3.4 versions prior to 3.4.22. El alcance incorrecto de las operaciones de eliminación en los scripts de inicio SysV empaquetados del servidor MongoDB permite a los usuarios con acceso de escritura al archivo PID insertar PID arbitrarios que se eliminarán cuando el usuario raíz detenga el proceso de MongoDB a través de SysV init. Este problema afecta a: MongoDB Inc. MongoDB Server v4.0 versiones anteriores a 4.0.11; v3.6 versiones anteriores a 3.6.14; v3.4 versiones anteriores a 3.4.22. • https://jira.mongodb.org/browse/SERVER-40563 • CWE-20: Improper Input Validation CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2019-2390 – Code execution on Windows via OpenSSL engine injection
https://notcve.org/view.php?id=CVE-2019-2390
An unprivileged user or program on Microsoft Windows which can create OpenSSL configuration files in a fixed location may cause utility programs shipped with MongoDB server to run attacker defined code as the user running the utility. This issue MongoDB Server v4.0 versions prior to 4.0.11; MongoDB Server v3.6 versions prior to 3.6.14 and MongoDB Server v3.4 prior to 3.4.22. Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL en una ubicación fija puede hacer que los programas de utilidades enviados con el servidor de MongoDB ejecuten código definido por el atacante como el usuario que ejecuta la utilidad. Este problema afecta: MongoDB Inc. Servidor MongoDB versiones 4.0 anteriores a la versión 4.0.11; versiones 3.6 anteriores a la versión 3.6.14; versiones 3.4 anteriores a la versión 3.4.22. • https://jira.mongodb.org/browse/SERVER-42233 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2019-2386 – Authorization session conflation
https://notcve.org/view.php?id=CVE-2019-2386
After user deletion in MongoDB Server the improper invalidation of authorization sessions allows an authenticated user's session to persist and become conflated with new accounts, if those accounts reuse the names of deleted ones. This issue affects MongoDB Server v4.0 versions prior to 4.0.9; MongoDB Server v3.6 versions prior to 3.6.13 and MongoDB Server v3.4 versions prior to 3.4.22. Workaround: After deleting one or more users, restart any nodes which may have had active user authorization sessions. Refrain from creating user accounts with the same name as previously deleted accounts. Después de la eliminación del usuario en MongoDB Server, la incomprobación incorrecta de las sesiones de autorización permite que la sesión de usuario autenticada persista y venga combinada con cuentas nuevas, si esas cuentas reutilizan los nombres de las eliminadas. Este problema afecta a: MongoDB Inc. MongoDB Server versiones v4.0 anteriores a 4.0.9; versiones v3.6 anteriores a 3.6.13; versiones v3.4 anteriores a 3.4.22. • https://jira.mongodb.org/browse/SERVER-38984 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0829 • CWE-285: Improper Authorization CWE-613: Insufficient Session Expiration •