Zpětná vazba k reportu

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na mongos router zadaním nesprávneho argumentu. Zraniteľnosť je zneužiteľná v prípade, že sa využíva funkcionalita sharding [1][2].

Zraniteľnosť sa nachádza v produkte MongoDB vo verziách (>=8.1 AND <8.1.0-rc0) OR (>=8.0 AND <8.0.6) OR (>=7.0 AND <7.0.18) OR (>=6.0 AND <6.0.24).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2025-10059 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 5. 9. 2025.

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na MongoDB server vykonaním špeciálne vytvoreného upsert príkazu [3][4].

Zraniteľnosť sa nachádza v produkte MongoDB vo verziách (>=8.1 AND <8.1.0-rc0) OR (>=7.0 AND <7.0.22) OR (>=6.0 AND <6.0.25) OR (>=8.0 AND <8.0.12).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2025-10060 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-672: Operation on a Resource after Expiration or Release at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 5. 9. 2025.

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na MongoDB server pomocou špeciálne vytvoreného $group dotazu [5][6].

Zraniteľnosť sa nachádza v produkte MongoDB vo verziách (>=8.2 AND <8.2.0-rc0) OR (>=8.1 AND <8.1.2) OR (>=7.0 AND <7.0.22) OR (>=6.0 AND <6.0.25 AND >=8.0 AND <8.0.12).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2025-10061 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 5. 9. 2025.