CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2015-7882 – Authentication bypass when using LDAP authentication in MongoDB Enterprise Server
https://notcve.org/view.php?id=CVE-2015-7882
Improper handling of LDAP authentication in MongoDB Server versions 3.0.0 to 3.0.6 allows an unauthenticated client to gain unauthorized access. El manejo inapropiado de la autenticación LDAP en MongoDB Server versiones 3.0.0 hasta 3.0.6, permite a un cliente no autenticado conseguir acceso no autorizado. • https://jira.mongodb.org/browse/SERVER-20691 • CWE-287: Improper Authentication •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16790
https://notcve.org/view.php?id=CVE-2018-16790
_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in MongoDB mongo-c-driver and other products, has a heap-based buffer over-read via a crafted bson buffer. _bson_iter_next_internal en bson-iter.c en libbson 1.12.0, tal y como se emplea en mongo-c-driver, de MongoDB, y otros productos, tiene una sobrelectura de búfer basada en memoria dinámica (heap) mediante un búfer bson manipulado. • https://bugzilla.redhat.com/show_bug.cgi?id=1627923#c3 https://github.com/mongodb/mongo-c-driver/commit/0d9a4d98bfdf4acd2c0138d4aaeb4e2e0934bd84 https://jira.mongodb.org/browse/CDRIVER-2819 • CWE-125: Out-of-bounds Read •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2018-13863
https://notcve.org/view.php?id=CVE-2018-13863
The MongoDB bson JavaScript module (also known as js-bson) versions 0.5.0 to 1.0.x before 1.0.5 is vulnerable to a Regular Expression Denial of Service (ReDoS) in lib/bson/decimal128.js. The flaw is triggered when the Decimal128.fromString() function is called to parse a long untrusted string. El módulo bson JavaScript de MongoDB (tambiñen conocido como js-bson) desde la versión 0.5.0 hasta las versiones 1.0.x anteriores a la 1.0.5 es vulnerable a una denegación de servicio (DoS) por expresiones regulares en lib/bson/decimal128.js. El error se desencadena cuando la función Decimal128.fromString se llama para analizar una cadena larga no fiable. • https://github.com/ossf-cve-benchmark/CVE-2018-13863 https://github.com/mongodb/js-bson/commit/bd61c45157c53a1698ff23770160cf4783e9ea4a https://snyk.io/vuln/npm:bson:20180225 •
CVSS: 7.0EPSS: 0%CPEs: 2EXPL: 0CVE-2017-2665
https://notcve.org/view.php?id=CVE-2017-2665
The skyring-setup command creates random password for mongodb skyring database but it writes password in plain text to /etc/skyring/skyring.conf file which is owned by root but read by local user. Any local user who has access to system running skyring service will be able to get password in plain text. El comando skyring-setup crea contraseñas aleatorias para la base de datos mongodb de skyring, pero escribe contraseñas en texto plano en el archivo /etc/skyring/skyring.conf, propiedad de root, pero leído por un usuario local. Cualquier usuario local que tenga acceso al sistema que ejecuta el servicio skyring será capaz de obtener la contraseña en texto plano. • http://www.securityfocus.com/bid/97612 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2665 • CWE-522: Insufficiently Protected Credentials •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10572
https://notcve.org/view.php?id=CVE-2016-10572
mongodb-instance before 0.0.3 installs mongodb locally. mongodb-instance downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server. mongodb-instance en versiones anteriores a la 0.0.3 instala mongodb localmente. mongodb-instance descarga recursos de binarios mediante HTTP, haciéndose vulnerable a ataques Man-in-the-Middle (MitM). Es posible que se ejecute código de manera remota al cambiar el binario solicitado por un binario controlado por el atacante si el atacante se encuentra en la red o entre el usuario y el servidor remoto. • https://nodesecurity.io/advisories/235 • CWE-310: Cryptographic Issues CWE-311: Missing Encryption of Sensitive Data •