CVE-2024-1351

Versões do MongoDB Server anteriores à 7.0.5, inclusive

Versões do MongoDB Server anteriores à 6.0.13, inclusive

Versões do MongoDB Server anteriores à 5.0.24, inclusive

Versões do MongoDB Server anteriores à 4.4.28, inclusive

O problema está relacionado a erros no procedimento de autenticação do certificado TLS, o que pode permitir que um invasor estabeleça conexões não autorizadas com o servidor MongoDB. Em determinadas configurações de --tlsCAFile e tls.CAFile, o servidor MongoDB pode ignorar a validação do certificado do par, resultando no sucesso de conexões não confiáveis. Isso reduz as garantias de segurança fornecidas pelo TLS e abre conexões que deveriam ter sido fechadas devido à falha na validação do certificado. Um processo do servidor permitirá que conexões de entrada ignorem a validação do certificado do par se o processo do servidor tiver sido iniciado com o TLS habilitado (net.tls.mode definido como allowTLS, preferTLS ou requireTLS) e sem um net.tls.CAFile configurado.

Para o MongoDB Server versão 7.0.5 e anteriores, atualize para uma versão posterior à 7.0.5 para corrigir o problema.

Para o MongoDB Server versão 6.0.13 e anteriores, atualize para uma versão posterior à 6.0.13 para corrigir o problema.

Para o MongoDB Server versão 5.0.24 e anteriores, atualize para uma versão posterior à 5.0.24 para corrigir o problema.

Para o MongoDB Server versão 4.4.28 e anteriores, atualize para uma versão posterior à 4.4.28 para corrigir o problema.

Como solução alternativa temporária, considere configurar `net.tls.CA