Luokitus: Vakava, Ratkaisu: Virallinen korjaus, Hyväksikäytön kypsyys: Ei määritelty, CVSSv3.1: 8.8, CVEt: CVE-2024-1351, Yhteenveto: MongoDB:ssä löydettiin turvallisuushaavoittuvuus, jossa palvelinprosessi, joka suorittaa MongoDB:tä versiosta 3.2.6 alkaen, sallii tulevat yhteydet ohittaa vertaisvarmenteen validoinnin, jos palvelinprosessi on käynnistetty TLS:n kanssa käytössä (net.tls.mode asetettu allowTLS, preferTLS tai requireTLS) ja ilman net.tls.CAFile konfigurointia. Tämä saattaa johtaa luottamattomien yhteyksien onnistumiseen. Haavoittuvuus vaikuttaa MongoDB Server v7.0 versioihin ennen ja mukaan lukien 7.0.5, MongoDB Server v6.0 versioihin ennen ja mukaan lukien 6.0.13, MongoDB Server v5.0 versioihin ennen ja mukaan lukien 5.0.24 ja MongoDB Server v4.4 versioihin ennen ja mukaan lukien 4.4.28. Valmistaja on korjannut tämän haavoittuvuuden versioissa 4.4.29, 5.0.25, 6.0.14 ja 7.0.6.
Classification: Severe, Solution: Official Fix, Exploit Maturity: Not Defined, CVSSv3.1: 8.8, CVEs: CVE-2024-1351, Summary: A security vulnerability was found in MongoDB where a server process running MongoDB 3.2.6 or later will allow incoming connections to skip peer certificate validation if the server process was started with TLS enabled (net.tls.mode set to allowTLS, preferTLS, or requireTLS) and without a net.tls.CAFile configured. This may result in untrusted connections succeeding. The vulnerability affects MongoDB Server v7.0 versions prior to and including 7.0.5, MongoDB Server v6.0 versions prior to and including 6.0.13, MongoDB Server v5.0 versions prior to and including 5.0.24 and MongoDB Server v4.4 versions prior to and including 4.4.28. The vendor has fixed this vulnerability in versions 4.4.29, 5.0.25, 6.0.14 and 7.0.6
