CSIRT Toscana Rilevate vulnerabilità in MongoDB (AL01/250228/CSIRT-ITA)
Data:
28 Febbraio 2025 10:30
Impatto Sistemico
Medio (63.58)
Sintesi
MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per risolvere 5 vulnerabilità, di cui 3 con gravità “alta”, che interessano i prodotti MongoDB Compass e MongoDB Shell. Tali vulnerabilità potrebbero essere sfruttate da un utente malevolo per eseguire codice arbitrario e/o per elevare i propri privilegi sulle istanze interessate.
Tipologia
- Privilege Escalation
- Arbitrary Code Execution
Prodotti e/o versioni affette
MongoDB
- mongosh, versioni precedenti alla 2.3.0
- Compass, versioni precedenti alla 1.42.1
N.B. Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nei relativi bollettini di sicurezza.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
Riferimenti
- https://jira.mongodb.org/browse/MONGOSH-2024
- https://jira.mongodb.org/browse/MONGOSH-2028
- https://jira.mongodb.org/browse/COMPASS-9058
CVE
| CVE-ID | ||
|---|---|---|
| CVE-2025-1691 | CVE-2025-1755 | CVE-2025-1756 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 28-02-2025 | 28/02/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.