Nueva vulnerabilidad afecta a MongoDB

MongoDB es una base de datos NoSQL que almacena información en documentos flexibles tipo JSON. Adecuada para datos no estructurados o cambiantes, es escalable y permite consultas rápidas.

Recientemente se ha detectado una vulnerabilidad que se identifica como CVE-2023-4009, clasificada como media con un puntaje base CVSS de 7.2

Esta vulnerabilidad afecta a una función desconocida dentro del componente API Key Handler (se encarga de gestionar y controlar el acceso a través de claves API). Es posible que un usuario autenticado con acceso de propietario del proyecto o administrador genere una clave API con privilegios del propietario de la organización, lo que resultaba en una escalada de privilegios.

Versiones Afectadas

MongoDB Ops Manager v5.0 anterior a 5.0.22 y v6.0 anterior a 6.0.17.

Solución

Actualización a la versión 5.0.22 o 6.0.17

Recomendación

Se recomienda a los usuarios actualizar a las versiones 5.0.22 o 6.0.17  para proteger sus sistemas contra estas amenazas.

Referencias