MongoDB 5.0.x < 5.0.25 / 6.0.x < 6.0.14 / 7.0.x < 7.0.6 不適切な入力検証SERVER-85263
high Nessus プラグイン ID 197879
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされている MongoDB のバージョンは、5.0.25、6.0.14、7.0.6 より前です。したがって、SERVER-85263アドバイザリに記載されている脆弱性の影響を受けます。- 特定のメタデータ入力が不適切に検証されているため、サーバーがBSONを正しくシリアル化しない可能性があります。
これは事前認証に実行でき、serverStatus 応答が利用できなくなるなど、アプリケーションの予期しない動作を引き起こす可能性があります。この問題は、 7.0.6バージョンより前の MongoDB Server v7.0、 6.0.14 バージョンより前の MongoDB Server v6.0、および 5.0.25バージョンより前の MongoDB Server v.5.0 に影響します。
(CVE-2024-3372)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
MongoDB バージョン5.0.25/6.0.14/7.0.6以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 197879
ファイル名: mongodb_SERVER-85263.nasl
バージョン: 1.4
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: Databases
公開日: 2024/5/24
更新日: 2026/3/13
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2024-3372
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mongodb:mongodb
必要な KB アイテム: installed_sw/MongoDB
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/2/28
脆弱性公開日: 2024/5/14
参照情報
CVE: CVE-2024-3372
IAVB: 2024-B-0063-S