Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se detectó una vulnerabilidad crítica en MongoDB para Windows que permite la ejecución de código malicioso mediante DLL hijacking si las configuraciones de acceso (ACLs) son incorrectas, afectando a versiones anteriores a 6.0.25, 7.0.21 y 8.0.5.
Recursos afectados
- • MongoDB Server v6.0 (versiones anteriores a 6.0.25)
- • MongoDB Server v7.0 (versiones anteriores a 7.0.21)
- • MongoDB Server v8.0 (versiones anteriores a 8.0.5)
Nota: Esta vulnerabilidad afecta únicamente a instalaciones en sistemas operativos Windows.
Solución
Actualizar MongoDB Server a las siguientes versiones o superiores:
- MongoDB Server v6.0.25
- MongoDB Server v7.0.21
- MongoDB Server v8.0.5
Estas versiones incluyen correcciones que aseguran una configuración adecuada de las ACLs en directorios personalizados durante la instalación.
Recomendaciones
- Aplicar las actualizaciones mencionadas a la brevedad posible.
- Verificar que las ACLs en los directorios de instalación de MongoDB estén configuradas correctamente.
- Evitar realizar instalaciones personalizadas sin una revisión exhaustiva de las configuraciones de seguridad.
- Monitorear los sistemas para detectar posibles actividades sospechosas.
Referencias