PT-2022-10064 · Mongodb+1 · Mongodb Server+2
Mickey. J Winters
+1
·
Publicado
2022-04-12
·
Atualizado
2024-09-16
·
CVE-2021-32040
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do MongoDB Server anteriores à 4.2.16
Versões do MongoDB Server 4.4 anteriores à 4.4.28, inclusive
Versões do MongoDB Server 5.0 anteriores à 5.0.4
Descrição
É possível que um pipeline de agregação extremamente longo, em conjunto com um estágio/operador específico, cause um estouro de pilha devido ao tamanho dos quadros de pilha utilizados por esse estágio. Se um invasor conseguir provocar tal agregação, ele poderá causar uma falha maliciosa no MongoDB em um ataque DoS.
Recomendações
Para versões do MongoDB Server anteriores à 4.2.16, atualize para a versão 4.2.16 ou posterior.
Para versões do MongoDB Server 4.4 anteriores à 4.4.28, inclusive, atualize para uma versão posterior à 4.4.28.
Para versões do MongoDB Server 5.0 anteriores à 5.0.4, atualize para a versão 5.0.4 ou posterior.
Como solução temporária, usuários da versão 4.2.16 ou posterior e todos os usuários da versão 4.4 podem adicionar --setParameter internalPipelineLengthLimit=50 em vez do valor padrão 1000 ao comando mongod na inicialização para evitar uma falha.
Correção
DoS
Stack Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Mongodb Server
Mongodb