CVE-2022-24272 – MongoDB Server (mongod) may crash in response to unexpected requests
https://notcve.org/view.php?id=CVE-2022-24272
An authenticated user may trigger an invariant assertion during command dispatch due to incorrect validation on the $external database. This may result in mongod denial of service or server crash. This issue affects: MongoDB Inc. MongoDB Server v5.0 versions, prior to and including v5.0.6. Un usuario autenticado puede desencadenar una aserción invariante durante el envío de comandos debido a una validación incorrecta en la base de datos $external. • https://jira.mongodb.org/browse/SERVER-63968 • CWE-617: Reachable Assertion •
CVE-2021-32036 – Denial of Service and Data Integrity vulnerability in features command
https://notcve.org/view.php?id=CVE-2021-32036
An authenticated user without any specific authorizations may be able to repeatedly invoke the features command where at a high volume may lead to resource depletion or generate high lock contention. This may result in denial of service and in rare cases could result in id field collisions. This issue affects MongoDB Server v5.0 versions prior to and including 5.0.3; MongoDB Server v4.4 versions prior to and including 4.4.9; MongoDB Server v4.2 versions prior to and including 4.2.16 and MongoDB Server v4.0 versions prior to and including 4.0.28 Un usuario autenticado sin ninguna autorización específica puede ser capaz de invocar repetidamente el comando features donde a un alto volumen puede conllevar a un agotamiento de recursos o generar una alta contención de bloqueos. Esto puede resultar en una denegación de servicio y, en casos raros, podría resultar en colisiones del campo id • https://jira.mongodb.org/browse/SERVER-59294 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2021-32039 – MongoDB Extension for VS Code may unexpectedly store credentials locally in clear text
https://notcve.org/view.php?id=CVE-2021-32039
Users with appropriate file access may be able to access unencrypted user credentials saved by MongoDB Extension for VS Code in a binary file. These credentials may be used by malicious attackers to perform unauthorized actions. This vulnerability affects all MongoDB Extension for VS Code including and prior to version 0.7.0 Los usuarios con acceso apropiado a los archivos pueden ser capaces de acceder a las credenciales de usuario sin cifrar guardadas por MongoDB Extension for VS Code en un archivo binario. Estas credenciales pueden ser usadas por atacantes maliciosos para llevar a cabo acciones no autorizadas. Esta vulnerabilidad afecta a todas las extensiones de MongoDB para VS Code incluida y anterior a versión 0.7.0 • https://github.com/mongodb-js/vscode/releases/tag/v0.8.0 https://jira.mongodb.org/browse/VSCODE-313 • CWE-522: Insufficiently Protected Credentials •
CVE-2021-20330 – Specific replication command with malformed oplog entries can crash secondaries
https://notcve.org/view.php?id=CVE-2021-20330
An attacker with basic CRUD permissions on a replicated collection can run the applyOps command with specially malformed oplog entries, resulting in a potential denial of service on secondaries. This issue affects MongoDB Server v4.0 versions prior to 4.0.27; MongoDB Server v4.2 versions prior to 4.2.16; MongoDB Server v4.4 versions prior to 4.4.9. Un atacante con permisos CRUD básicos en una colección replicada puede ejecutar el comando applyOps con entradas oplog especialmente malformadas, resultando en una potencial denegación de servicio en los secundarios. Este problema afecta a las versiones de MongoDB Server v4.0 anteriores a 4.0.25; a las versiones de MongoDB Server v4.2 anteriores a 4.2.14; a las versiones de MongoDB Server v4.4 anteriores a 4.4.6 • https://jira.mongodb.org/browse/SERVER-36263 • CWE-20: Improper Input Validation •
CVE-2021-32037 – User may trigger invariant when allowed to send commands directly to shards
https://notcve.org/view.php?id=CVE-2021-32037
An authorized user may trigger an invariant which may result in denial of service or server exit if a relevant aggregation request is sent to a shard. Usually, the requests are sent via mongos and special privileges are required in order to know the address of the shards and to log in to the shards of an auth enabled environment. This issue affects MongoDB Server v5.0 versions prior to and including 5.0.2. Un usuario autorizado puede desencadenar una invariante que puede resultar en una denegación de servicio o a la salida del servidor si se envía una petición de agregación relevante a un shard. Normalmente, las peticiones se envían por medio de mongos y son requeridos privilegios especiales para conocer la dirección de los shards y para iniciar sesión en los shards de un entorno habilitado para la autenticación. • https://jira.mongodb.org/browse/SERVER-59071 • CWE-617: Reachable Assertion •