Vulnérabilité dans MongoDB Ops Manager

Gestion du document

Référence	CERTFR-2023-AVI-0646
Titre	Vulnérabilité dans MongoDB Ops Manager
Date de la première version	10 août 2023
Date de la dernière version	10 août 2023
Source(s)	Bulletin de sécurité MongoDB onprem-server-5-0 du 31 juillet 2023 Bulletin de sécurité MongoDB onprem-server-6-0 du 03 août 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Contournement de la politique de sécurité
Élévation de privilèges

Systèmes affectés

Ops Manager versions 5.0.x antérieures à 5.0.22
Ops Manager versions 6.0.x antérieures à 6.0.17

Résumé

Une vulnérabilité a été découverte dans MongoDB Ops Manager. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité MongoDB onprem-server-5-0 du 31 juillet 2023

https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-5-0

Bulletin de sécurité MongoDB onprem-server-6-0 du 03 août 2023

https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-6-0

Référence CVE CVE-2023-4009

https://www.cve.org/CVERecord?id=CVE-2023-4009

Avis du CERT-FR