PT-2021-2652 · Mongodb · Mongodb Database Tools
Huan Li
·
Publicado
2021-04-12
·
Atualizado
2024-09-16
·
CVE-2020-7924
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
MongoDB Database Tools, versões 3.6.6 a 3.6.20
MongoDB Database Tools, versões anteriores à 3.6.21
Ferramentas de banco de dados MongoDB versões anteriores à 4.0.21
Ferramentas de banco de dados MongoDB versões anteriores à 4.2.11
Ferramentas de banco de dados MongoDB 100 versões anteriores à 100.2.0
Mongomirror 0 versões posteriores à 0.6.0
Descrição
A vulnerabilidade está relacionada ao uso de um parâmetro específico da linha de comando nas Ferramentas do MongoDB, que originalmente tinha como objetivo ignorar verificações de nome de host, mas pode fazer com que o MongoDB ignore toda a validação de certificados, potencialmente aceitando certificados inválidos. Isso poderia permitir que um invasor remoto acessasse e comprometesse dados confidenciais.
Recomendações
Para as versões 3.6.6 a 3.6.20 do MongoDB Database Tools, atualize para a versão 3.6.21 ou posterior.
Para as versões do MongoDB Database Tools anteriores à 3.6.21, atualize para a versão 3.6.21 ou posterior.
Para as versões do MongoDB Database Tools anteriores à 4.0.21, atualize para a versão 4.0.21 ou posterior.
Para versões do MongoDB Database Tools anteriores à 4.2.11, atualize para a versão 4.2.11 ou posterior.
Para versões do MongoDB Database Tools 100 anteriores à 100.2.0, atualize para a versão 100.2.0 ou posterior.
Para versões do Mongomirror 0 posteriores à 0.6.0, considere desativar o parâmetro de linha de comando vulnerável até que um patch esteja disponível.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mongodb Database Tools