CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17426
https://notcve.org/view.php?id=CVE-2019-17426
Automattic Mongoose through 5.7.4 allows attackers to bypass access control (in some applications) because any query object with a _bsontype attribute is ignored. For example, adding "_bsontype":"a" can sometimes interfere with a query filter. NOTE: this CVE is about Mongoose's failure to work around this _bsontype special case that exists in older versions of the bson parser (aka the mongodb/js-bson project). Automattic Mongoose versiones hasta 5.7.4, permite a atacantes omitir el control de acceso (en algunas aplicaciones) porque cualquier objeto de consulta con un atributo _bsontype es ignorado. Por ejemplo, agregar "_bsontype":"a" a veces puede interferir con un filtro de consulta. • https://github.com/Automattic/mongoose/commit/f3eca5b94d822225c04e96cbeed9f095afb3c31c https://github.com/Automattic/mongoose/issues/8222 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13503
https://notcve.org/view.php?id=CVE-2019-13503
mq_parse_http in mongoose.c in Mongoose 6.15 has a heap-based buffer over-read. La función mq_parse_http en el archivo mongoose.c en Mongoose versión 6.15, presenta una lectura en exceso del búfer en la región heap de la memoria. • https://fuzzit.dev/2019/07/11/discovering-cve-2019-13504-cve-2019-13503-and-the-importance-of-api-fuzzing https://github.com/cesanta/mongoose/pull/1035 • CWE-125: Out-of-bounds Read •
CVSS: 9.8EPSS: 18%CPEs: 1EXPL: 0CVE-2019-12951
https://notcve.org/view.php?id=CVE-2019-12951
An issue was discovered in Mongoose before 6.15. The parse_mqtt() function in mg_mqtt.c has a critical heap-based buffer overflow. Se detectó un problema en Mongoose anterior a versión 6.15. La función parse_mqtt() en el archivo mg_mqtt.c, presenta un desbordamiento de búfer en la región heap de la memoria crítico. • https://github.com/cesanta/mongoose/commit/b3e0f780c34cea88f057a62213c012aa88fe2deb https://github.com/cesanta/mongoose/releases/tag/6.15 • CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20356
https://notcve.org/view.php?id=CVE-2018-20356
An invalid read of 8 bytes due to a use-after-free vulnerability in the mg_http_free_proto_data_cgi function call in mongoose.c in Cesanta Mongoose Embedded Web Server Library 6.13 and earlier allows a denial of service (application crash) or remote code execution. Una lectura no válida de 8 bytes debido a una vulnerabilidad de uso después de la llamada a la función mg_http_free_proto_data_cgi en mongoose.c en Cesanta Mongoose Embedded Web Server Library 6.13 y anteriores permite una denegación de servicio (bloqueo de la aplicación) o ejecución remota de código. • https://github.com/insi2304/mongoose-6.13-fuzz/blob/master/Simplest_Web_Server_Use_After_Free-read_mg_http_free_proto_data_cgi.png • CWE-416: Use After Free •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20355
https://notcve.org/view.php?id=CVE-2018-20355
An invalid write of 8 bytes due to a use-after-free vulnerability in the mg_http_free_proto_data_cgi function call in mongoose.c in Cesanta Mongoose Embedded Web Server Library 6.13 and earlier allows a denial of service (application crash) or remote code execution. Una escritura invalida de 8 bytes debido a una vulnerabilidad use-after-free de la llamada en la función en el mg_http_free_proto_data_cgi in mongoose.c in Cesanta Mongoose Embedded Web Server Library 6.13 y anteriores permiten un servicio de denegación (application crash) o una ejecución de código remoto. • https://github.com/insi2304/mongoose-6.13-fuzz/blob/master/Simplest_Web_Server_Use_After_Free-mg_http_free_proto_data_cgi.png • CWE-416: Use After Free •