PT-2024-38752 · Mongodb+2 · Mongo Crypt V1.So+3
Karman Liu
·
Publicado
2024-10-28
·
Atualizado
2025-03-26
·
CVE-2024-8013
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Versões do mongocryptd anteriores à 5.0.29
Versões do mongocryptd anteriores à 6.0.17
Versões do mongocryptd anteriores à 7.0.12
Versões do mongocryptd anteriores à 7.3.4
Versões das bibliotecas compartilhadas mongo crypt v1.so anteriores à 6.0.17
Bibliotecas compartilhadas mongo crypt v1.so versões anteriores à 7.0.12
Bibliotecas compartilhadas mongo crypt v1.so versões anteriores à 7.3.4
Descrição:
Um bug na análise de consultas de certos subpipelines $lookup autorreferenciais complexos pode resultar no envio de valores literais em expressões para campos criptografados ao servidor como texto simples, em vez de texto cifrado. Caso isso ocorra, nenhum documento seria retornado ou gravado.
Recomendações:
Para versões do mongocryptd anteriores à 5.0.29, atualize para a versão 5.0.29 ou posterior.
Para versões do mongocryptd anteriores à 6.0.17, atualize para a versão 6.0.17 ou posterior.
Para versões do mongocryptd anteriores à 7.0.12, atualize para a versão 7.0.12 ou posterior.
Para versões do mongocryptd anteriores à 7.3.4, atualize para a versão 7.3.4 ou posterior.
Para versões das bibliotecas compartilhadas mongo crypt v1.so anteriores à 6.0.17, atualize para a versão 6.0.17 ou posterior.
Para versões das bibliotecas compartilhadas mongo crypt v1.so anteriores à 7.0.12, atualize para a versão 7.0.12 ou posterior.
Para versões das bibliotecas compartilhadas mongo crypt v1.so anteriores à 7.3.4, atualize para a versão 7.3.4 ou posterior.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Red Os
Mongo Crypt V1.So
Mongocryptd