CVE-2019-2391 – JS-bson may incorrectly serialise some requests
https://notcve.org/view.php?id=CVE-2019-2391
Incorrect parsing of certain JSON input may result in js-bson not correctly serializing BSON. This may cause unexpected application behaviour including data disclosure. This issue affects: MongoDB Inc. js-bson library version 1.1.3 and prior to. El análisis incorrecto de determinada entrada JSON puede resultar en que js-bson no serialice correctamente BSON. Esto puede causar un comportamiento inesperado de la aplicación, incluyendo una divulgación de los datos. • https://github.com/mongodb/js-bson/releases/tag/v1.1.4 • CWE-502: Deserialization of Untrusted Data •
CVE-2018-13863
https://notcve.org/view.php?id=CVE-2018-13863
The MongoDB bson JavaScript module (also known as js-bson) versions 0.5.0 to 1.0.x before 1.0.5 is vulnerable to a Regular Expression Denial of Service (ReDoS) in lib/bson/decimal128.js. The flaw is triggered when the Decimal128.fromString() function is called to parse a long untrusted string. El módulo bson JavaScript de MongoDB (tambiñen conocido como js-bson) desde la versión 0.5.0 hasta las versiones 1.0.x anteriores a la 1.0.5 es vulnerable a una denegación de servicio (DoS) por expresiones regulares en lib/bson/decimal128.js. El error se desencadena cuando la función Decimal128.fromString se llama para analizar una cadena larga no fiable. • https://github.com/ossf-cve-benchmark/CVE-2018-13863 https://github.com/mongodb/js-bson/commit/bd61c45157c53a1698ff23770160cf4783e9ea4a https://snyk.io/vuln/npm:bson:20180225 •