Informazioni sul CVE-2024-8013

CSFLE and Queryable Encryption self-lookup may fail to encrypt values in subpipelines

CWE ID: CWE-319

Base Score (CVSS): N/A

CVE: CVE-2024-8013

Descrizione: A bug in query analysis of certain complex self-referential $lookup subpipelines may result in literal values in expressions for encrypted fields to be sent to the server as plaintext instead of ciphertext. Should this occur, no documents would be returned or written. This issue affects mongocryptd binary (v5.0 versions prior to 5.0.29, v6.0 versions prior to 6.0.17, v7.0 versions prior to 7.0.12 and v7.3 versions prior to 7.3.4) and mongo_crypt_v1.so shared libraries (v6.0 versions prior to 6.0.17, v7.0 versions prior to 7.0.12 and v7.3 versions prior to 7.3.4) released alongside MongoDB Enterprise Server versions.

Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 2.2 (Low)

Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: Low, Integrità: None, Disponibilità: None.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) H High L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR) L Low Richiede pochi privilegi.
User Interaction (UI) R Required È richiesta l’interazione di un utente.
Scope (S) U Unchanged Il raggio d’azione non cambia.
Confidentiality Impact (C) L Low Impatto limitato.
Integrity Impact (I) N None Nessun impatto sull’integrità.
Availability Impact (A) N None Nessun impatto sulla disponibilità.

Riferimenti esterni

Prodotti interessati

  • MongoDB Inc – mongocryptd
  • MongoDB Inc – Mongo_crypt_v1.so

Relazioni con altri prodotti

Produttore:MongoDB Inc
Prodotto: mongocryptd
Anno: 2024
CWE: CWE-319
CVSS: 0.0

Produttore:MongoDB Inc
Prodotto: Mongo_crypt_v1.so
Anno: 2024
CWE: CWE-319
CVSS: 0.0