Sintesi

MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” che interessa MongoDB Server, MongoDB C Driver e MongoDB PHP Driver. Tale vulnerabilità potrebbe essere sfruttata da un utente malevolo per elevare i propri privilegi sulle istanze interessate.

Tipologia

• Privilege Escalation

Prodotti e versioni affette

MongoDB

• Server 5.x, versioni precedenti alla 5.0.27
• Server 6.x, versioni precedenti alla 6.0.16
• Server 7.0.x, versioni precedenti alla 7.0.12
• Server 7.3.x, versions prior 7.3.3
• C Driver, versioni precedenti alla 1.26.2
• PHP Driver, versioni precedenti alla 1.18.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-7553

Riferimenti

https://jira.mongodb.org/browse/PHPC-2369

https://jira.mongodb.org/browse/SERVER-93211

https://jira.mongodb.org/browse/CDRIVER-5650

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.