Erwin Pe

**Nome do software vulnerável e versões afetadas** Versões do MongoDB Server anteriores à 7.0.5, inclusive Versões do MongoDB Server anteriores à 6.0.13, inclusive Versões do MongoDB Server anteriores à 5.0.24, inclusive Versões do MongoDB Server anteriores à 4.4.28, inclusive **Descrição** O problema está relacionado a erros no procedimento de autenticação do certificado TLS, o que pode permitir que um invasor estabeleça conexões não autorizadas com o servidor MongoDB. Em determinadas configurações de `--tlsCAFile` e `tls.CAFile`, o servidor MongoDB pode ignorar a validação do certificado do par, resultando no sucesso de conexões não confiáveis. Isso reduz as garantias de segurança fornecidas pelo TLS e abre conexões que deveriam ter sido fechadas devido à falha na validação do certificado. Um processo do servidor permitirá que conexões de entrada ignorem a validação do certificado do par se o processo do servidor tiver sido iniciado com o TLS habilitado (`net.tls.mode` definido como `allowTLS`, `preferTLS` ou `requireTLS`) e sem um `net.tls.CAFile` configurado. **Recomendações** Para o MongoDB Server versão 7.0.5 e anteriores, atualize para uma versão posterior à 7.0.5 para corrigir o problema. Para o MongoDB Server versão 6.0.13 e anteriores, atualize para uma versão posterior à 6.0.13 para corrigir o problema. Para o MongoDB Server versão 5.0.24 e anteriores, atualize para uma versão posterior à 5.0.24 para corrigir o problema. Para o MongoDB Server versão 4.4.28 e anteriores, atualize para uma versão posterior à 4.4.28 para corrigir o problema. Como solução alternativa temporária, considere configurar `net.tls.CA