MongoDB Ops Manager bis 4.2.17/4.3.9/4.4.2 API Key Information Disclosure

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.6$0-$5k0.00

In MongoDB Ops Manager bis 4.2.17/4.3.9/4.4.2 (Database Software) wurde eine problematische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Komponente API Key Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:

Specially crafted API calls may allow an authenticated user who holds Organization Owner privilege to obtain an API key with Global Role privilege. This issue affects MongoDB Ops Manager v4.2 versions 4.2.0-4.2.17, v4.3 versions 4.3.0-4.3.9 and v4.4 versions 4.4.0-4.4.2.

Die Schwachstelle wurde am 24.11.2020 an die Öffentlichkeit getragen. Auf docs.opsmanager.mongodb.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 23.01.2020 mit CVE-2020-7927 vorgenommen. Das Ausnutzen gilt als schwierig. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 4.4.3 vermag dieses Problem zu beheben.

Produktinfoedit

Typ

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.8
VulDB Meta Temp Score: 4.6

VulDB Base Score: 3.1
VulDB Temp Score: 3.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Information Disclosure
CWE: CWE-200
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Ops Manager 4.4.3

Timelineinfoedit

23.01.2020 CVE zugewiesen
24.11.2020 +306 Tage Advisory veröffentlicht
24.11.2020 +0 Tage VulDB Eintrag erstellt
10.12.2020 +16 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: docs.opsmanager.mongodb.com
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2020-7927 (🔒)

Eintraginfoedit

Erstellt: 24.11.2020 08:17
Aktualisierung: 10.12.2020 09:19
Anpassungen: (19) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_cna vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Do you know our Splunk app?

Download it now for free!