CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-6376 – ejson shell parser in MongoDB Compass maybe bypassed
https://notcve.org/view.php?id=CVE-2024-6376
MongoDB Compass may be susceptible to code injection due to insufficient sandbox protection settings with the usage of ejson shell parser in Compass' connection handling. This issue affects MongoDB Compass versions prior to version 1.42.2 MongoDB Compass puede ser susceptible a la inyección de código debido a una configuración insuficiente de protección de la zona de pruebas con el uso del analizador de shell ejson en el manejo de conexiones de Compass. Este problema afecta a las versiones de MongoDB Compass anteriores a la versión 1.42.2 • https://jira.mongodb.org/browse/COMPASS-7496 • CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2024-6375 – Missing authorization check may lead to shard key refinement
https://notcve.org/view.php?id=CVE-2024-6375
A command for refining a collection shard key is missing an authorization check. This may cause the command to run directly on a shard, leading to either degradation of query performance, or to revealing chunk boundaries through timing side channels. This affects MongoDB Server v5.0 versions, prior to 5.0.22, MongoDB Server v6.0 versions, prior to 6.0.11 and MongoDB Server v7.0 versions prior to 7.0.3. A un comando para refinar una clave de fragmento de colección le falta una verificación de autorización. Esto puede hacer que el comando se ejecute directamente en un fragmento, lo que provoca una degradación del rendimiento de la consulta o revela límites de fragmentos a través de canales laterales de temporización. • https://jira.mongodb.org/browse/SERVER-79327 • CWE-285: Improper Authorization CWE-862: Missing Authorization •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2024-5629 – Out-of-bounds read in bson module of PyMongo
https://notcve.org/view.php?id=CVE-2024-5629
An out-of-bounds read in the 'bson' module of PyMongo 4.6.2 or earlier allows deserialization of malformed BSON provided by a Server to raise an exception which may contain arbitrary application memory. Una lectura fuera de los límites en el módulo 'bson' de PyMongo 4.6.2 o anterior permite la deserialización de BSON mal formado proporcionado por un servidor para generar una excepción que puede contener memoria de aplicación arbitraria. • https://jira.mongodb.org/browse/PYTHON-4305 https://lists.debian.org/debian-lts-announce/2024/06/msg00007.html • CWE-125: Out-of-bounds Read •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2024-3374 – MongoDB Server (mongod) may crash when generating ftdc
https://notcve.org/view.php?id=CVE-2024-3374
An unauthenticated user can trigger a fatal assertion in the server while generating ftdc diagnostic metrics due to attempting to build a BSON object that exceeds certain memory sizes. This issue affects MongoDB Server v5.0 versions prior to and including 5.0.16 and MongoDB Server v6.0 versions prior to and including 6.0.5. Un usuario no autenticado puede desencadenar una afirmación fatal en el servidor mientras genera métricas de diagnóstico ftdc debido a que intenta crear un objeto BSON que excede ciertos tamaños de memoria. Este problema afecta a las versiones de MongoDB Server v5.0 anteriores a la 5.0.16 incluida y a las versiones de MongoDB Server v6.0 anteriores a la 6.0.5 incluida. • https://jira.mongodb.org/browse/SERVER-75601 • CWE-617: Reachable Assertion •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2024-3372 – MongoDB Server may have unexpected application behaviour due to invalid BSON
https://notcve.org/view.php?id=CVE-2024-3372
Improper validation of certain metadata input may result in the server not correctly serialising BSON. This can be performed pre-authentication and may cause unexpected application behavior including unavailability of serverStatus responses. This issue affects MongoDB Server v7.0 versions prior to 7.0.6, MongoDB Server v6.0 versions prior to 6.0.14 and MongoDB Server v.5.0 versions prior to 5.0.25. Una validación inadecuada de cierta entrada de metadatos puede provocar que el servidor no serialice correctamente BSON. Esto se puede realizar antes de la autenticación y puede provocar un comportamiento inesperado de la aplicación, incluida la falta de disponibilidad de las respuestas de serverStatus. • https://jira.mongodb.org/browse/SERVER-85263 • CWE-20: Improper Input Validation •