CVE-2021-20331

**Nome do software vulnerável e versões afetadas:

Driver MongoDB C#, versões 2.12.0 a 2.12.1

Descrição:

O Driver MongoDB C# pode publicar erroneamente eventos contendo dados relacionados à autenticação para um ouvinte de comandos configurado por um aplicativo. Os eventos publicados podem conter dados sensíveis à segurança quando comandos como “saslStart”, “saslContinue”, “isMaster”, “createUser” e “updateUser” são executados. Sem o devido cuidado, um aplicativo pode inadvertidamente expor essas informações relacionadas à autenticação, por exemplo, gravando-as em um arquivo de log. Esse problema só ocorre se um aplicativo habilitar o recurso de ouvinte de comandos, que não está habilitado por padrão.

Recomendações:

Para as versões 2.12.0 a 2.12.1 do MongoDB C# Driver, considere desativar o recurso de ouvinte de comandos para evitar a exposição de dados relacionados à autenticação até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso ao ouvinte de comandos para minimizar o risco de exploração. Evite gravar dados confidenciais em arquivos de log.