CVE-2021-20327

**Nome do software vulnerável e versões afetadas:

Módulo mongodb-client-encryption, versão 1.2.0

Descrição:

O problema decorre da falha do módulo mongodb-client-encryption em validar corretamente o certificado do servidor KMS. Isso poderia permitir que um invasor com uma posição privilegiada na rede interceptasse o tráfego entre o driver Node.js e o serviço KMS, tornando ineficaz a criptografia no nível do campo do lado do cliente (CSFLE). A vulnerabilidade foi descoberta durante testes internos e não afeta cargas de tráfego do driver com serviços de chave compatíveis com CSFLE de aplicativos residentes nas estruturas de rede da AWS, GCP e Azure, devido a controles compensatórios nesses ambientes. Além disso, ela não afeta cargas de trabalho do driver que não utilizam criptografia em nível de campo.

Recomendações:

Como solução alternativa temporária, considere desativar o uso do módulo mongodb-client-encryption versão 1.2.0 até que um patch esteja disponível. Restrinja o acesso ao serviço KMS para minimizar o risco de exploração. Evite usar o módulo vulnerável em ambientes onde a CSFLE é crucial. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.