CVE-2019-20925 – Denial of service via malformed network packet
https://notcve.org/view.php?id=CVE-2019-20925
An unauthenticated client can trigger denial of service by issuing specially crafted wire protocol messages, which cause the message decompressor to incorrectly allocate memory. This issue affects MongoDB Server v4.2 versions prior to 4.2.1; MongoDB Server v4.0 versions prior to 4.0.13; MongoDB Server v3.6 versions prior to 3.6.15 and MongoDB Server v3.4 versions prior to 3.4.24. Un cliente no autenticado puede desencadenar una denegación de servicio al emitir mensajes de protocolo de cable especialmente diseñados, lo que causa a un descompresor de mensajes asignar memoria de manera incorrecta. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.2 anteriores a 4.2.1; versiones v4.0 anteriores a 4.0.13; versiones v3.6 anteriores a 3.6.15; versiones v3.4 anteriores a 3.4.24 • https://jira.mongodb.org/browse/SERVER-43751 • CWE-697: Incorrect Comparison CWE-839: Numeric Range Comparison Without Minimum Check •
CVE-2018-20803 – Infinite loop in aggregation expression
https://notcve.org/view.php?id=CVE-2018-20803
A user authorized to perform database queries may trigger denial of service by issuing specially crafted queries, which loop indefinitely in mathematics processing while retaining locks. This issue affects MongoDB Server v4.0 versions prior to 4.0.5; MongoDB Server v3.6 versions prior to 3.6.10 and MongoDB Server v3.4 versions prior to 3.4.19. Un usuario autorizado para realizar consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que se repiten indefinidamente en el procesamiento matemático mientras retienen bloqueos. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.5; versiones v3.6 anteriores a 3.6.10; versiones v3.4 anteriores a 3.4.19 • https://jira.mongodb.org/browse/SERVER-38070 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVE-2020-7928 – Improper neutralization of null byte leads to read overrun
https://notcve.org/view.php?id=CVE-2020-7928
A user authorized to perform database queries may trigger a read overrun and access arbitrary memory by issuing specially crafted queries. This issue affects MongoDB Server v4.4 versions prior to 4.4.1; MongoDB Server v4.2 versions prior to 4.2.9; MongoDB Server v4.0 versions prior to 4.0.20 and MongoDB Server v3.6 versions prior to 3.6.20. Un usuario autorizado para realizar consultas de la base de datos puede desencadenar un desbordamiento de lectura y acceder a la memoria arbitraria mediante la emisión de consultas especialmente diseñadas. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.4 anteriores a 4.4.1; versiones v4.2 anteriores a 4.2.9; versiones v4.0 anteriores a 4.0.20; versiones v3.6 anteriores a 3.6.20 • https://jira.mongodb.org/browse/SERVER-49404 • CWE-158: Improper Neutralization of Null Byte or NUL Character •
CVE-2019-2393 – Crash while joining collections with $lookup
https://notcve.org/view.php?id=CVE-2019-2393
A user authorized to perform database queries may trigger denial of service by issuing specially crafted queries, which use $lookup and collations. This issue affects MongoDB Server v4.2 versions prior to 4.2.1; MongoDB Server v4.0 versions prior to 4.0.13 and MongoDB Server v3.6 versions prior to 3.6.15. Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que usan $lookup y colaciones. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.2 anteriores a 4.2.1; versiones v4.0 anteriores a 4.0.13; versiones v3.6 anteriores a 3.6.15 • https://jira.mongodb.org/browse/SERVER-43350 • CWE-416: Use After Free •
CVE-2019-20923 – Crash while handling internal Javascript exception types
https://notcve.org/view.php?id=CVE-2019-20923
A user authorized to perform database queries may trigger denial of service by issuing specially crafted queries, which throw unhandled Javascript exceptions containing types intended to be scoped to the Javascript engine's internals. This issue affects MongoDB Server v4.0 versions prior to 4.0.7. Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que arrojan excepciones de Javascript no controladas que contienen tipos destinados a ser incluidos en el ámbito interno del motor de Javascript. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.7 • https://jira.mongodb.org/browse/SERVER-39481 • CWE-749: Exposed Dangerous Method or Function •