Nueva vulnerabilidad afecta a MongoDB

MongoDB es una base de datos NoSQL que almacena información en documentos flexibles tipo JSON. Adecuada para datos no estructurados o cambiantes, es escalable y permite consultas rápidas.

Recientemente se ha detectado una vulnerabilidad que se identifica como CVE-2023-4009, clasificada como media con un puntaje base CVSS de 7.2. 

Esta vulnerabilidad afecta a una función desconocida dentro del componente API Key Handler (se encarga de gestionar y controlar el acceso a través de claves API). Es posible que un usuario autenticado con acceso de propietario del proyecto o administrador genere una clave API con privilegios del propietario de la organización, lo que resultaba en una escalada de privilegios.

Versiones Afectadas

MongoDB Ops Manager v5.0 anterior a 5.0.22 y v6.0 anterior a 6.0.17.

Solución

Actualización a la versión 5.0.22 o 6.0.17

Recomendación

Se recomienda a los usuarios actualizar a las versiones 5.0.22 o 6.0.17  para proteger sus sistemas contra estas amenazas.

Referencias

• https://www.mongodb.com/docs/ops-manager/v5.0/release-notes/application/#onprem-server-5-0-22
• https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-6-0
• https://www.ramanean.com/cve-2023-4009-mongodb-ops-manager/
• https://vuldb.com/es/?id.236378