MongoDB es una base de datos NoSQL que almacena información en documentos flexibles tipo JSON. Adecuada para datos no estructurados o cambiantes, es escalable y permite consultas rápidas.
Recientemente se ha detectado una vulnerabilidad que se identifica como CVE-2023-4009, clasificada como media con un puntaje base CVSS de 7.2.
Esta vulnerabilidad afecta a una función desconocida dentro del componente API Key Handler (se encarga de gestionar y controlar el acceso a través de claves API). Es posible que un usuario autenticado con acceso de propietario del proyecto o administrador genere una clave API con privilegios del propietario de la organización, lo que resultaba en una escalada de privilegios.
Versiones Afectadas
MongoDB Ops Manager v5.0 anterior a 5.0.22 y v6.0 anterior a 6.0.17.
Solución
Actualización a la versión 5.0.22 o 6.0.17
Recomendación
Se recomienda a los usuarios actualizar a las versiones 5.0.22 o 6.0.17 para proteger sus sistemas contra estas amenazas.
Referencias