CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-2391 – JS-bson may incorrectly serialise some requests
https://notcve.org/view.php?id=CVE-2019-2391
Incorrect parsing of certain JSON input may result in js-bson not correctly serializing BSON. This may cause unexpected application behaviour including data disclosure. This issue affects: MongoDB Inc. js-bson library version 1.1.3 and prior to. El análisis incorrecto de determinada entrada JSON puede resultar en que js-bson no serialice correctamente BSON. Esto puede causar un comportamiento inesperado de la aplicación, incluyendo una divulgación de los datos. • https://github.com/mongodb/js-bson/releases/tag/v1.1.4 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-7610
https://notcve.org/view.php?id=CVE-2020-7610
All versions of bson before 1.1.4 are vulnerable to Deserialization of Untrusted Data. The package will ignore an unknown value for an object's _bsotype, leading to cases where an object is serialized as a document rather than the intended BSON type. Todas las versiones de bson anteriores a 1.1.4, son vulnerables a la Deserialización de Datos No Confiables. El paquete ignorará un valor desconocido para un _bsotype de objeto, conllevando a casos donde un objeto es serializado como un documento en lugar del tipo BSON previsto. • https://snyk.io/vuln/SNYK-JS-BSON-561052 • CWE-502: Deserialization of Untrusted Data •
CVSS: 7.5EPSS: 3%CPEs: 3EXPL: 2CVE-2015-4411
https://notcve.org/view.php?id=CVE-2015-4411
The Moped::BSON::ObjecId.legal? method in mongodb/bson-ruby before 3.0.4 as used in rubygem-moped allows remote attackers to cause a denial of service (worker resource consumption) via a crafted string. NOTE: This issue is due to an incomplete fix to CVE-2015-4410. El método Moped::BSON::ObjecId.legal? en mongodb/bson-ruby, versiones anteriores a 3.0.4, como es usado en rubygem-moped, permite a atacantes remotos causar una denegación de servicio (consumo de recursos de worker) por medio de una cadena diseñada. • http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161964.html http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161987.html http://www.openwall.com/lists/oss-security/2015/06/06/3 http://www.securityfocus.com/bid/75045 https://bugzilla.redhat.com/show_bug.cgi?id=1229706 https://github.com/mongodb/bson-ruby/commit/976da329ff03ecdfca3030eb6efe3c85e6db9999 https://github.com/mongodb/bson-ruby/commit/fef6f75413511d653c76bf924a932374a183a24f#diff-8c8558c185bbb548ccb5a6d6ac4bfee5R191 https:// • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2018-13863
https://notcve.org/view.php?id=CVE-2018-13863
The MongoDB bson JavaScript module (also known as js-bson) versions 0.5.0 to 1.0.x before 1.0.5 is vulnerable to a Regular Expression Denial of Service (ReDoS) in lib/bson/decimal128.js. The flaw is triggered when the Decimal128.fromString() function is called to parse a long untrusted string. El módulo bson JavaScript de MongoDB (tambiñen conocido como js-bson) desde la versión 0.5.0 hasta las versiones 1.0.x anteriores a la 1.0.5 es vulnerable a una denegación de servicio (DoS) por expresiones regulares en lib/bson/decimal128.js. El error se desencadena cuando la función Decimal128.fromString se llama para analizar una cadena larga no fiable. • https://github.com/ossf-cve-benchmark/CVE-2018-13863 https://github.com/mongodb/js-bson/commit/bd61c45157c53a1698ff23770160cf4783e9ea4a https://snyk.io/vuln/npm:bson:20180225 •