Rilevata vulnerabilità in MongoDB (AL05/250320/CSIRT-ITA)

Data:
20 Marzo 2025 14:50

Impatto Sistemico

Medio (60.76)

Sintesi

MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per una vulnerabilità che interessa le varie funzioni “bson_append” nella libreria “libbson” del driver C di MongoDB. Tale vulnerabilità potrebbe portare a un crash dell’applicazione nel caso in cui vengano effettuate operazioni che potrebbero risultare in un documento BSON finale che supera la dimensione massima consentita (INT32_MAX).

Tipologia

Denial of Service

Prodotti e/o versioni affette

MongoDB libbson, versioni precedenti alla 1.27.5

MongoDB Server

8.0.x, versioni precedenti alla 8.0.1
7.0.x, versioni precedenti alla 7.0.16

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

CVE

CVE-ID
CVE-2025-0755

Riferimenti

https://jira.mongodb.org/browse/SERVER-94461

Change log

Versione	Note	Data
1.0	Pubblicato il 20-03-2025	20/03/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana