КиберосноваSGRC
BDU:2025-02431
Высокий

BDU:2025-02431: Уязвимость команды reshardCollection системы управления базами данных MongoDB, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации

CVSS v38.1
CVSS v29.4

Детали уязвимости BDU:2025-02431

Описание

Уязвимость команды reshardCollection системы управления базами данных MongoDB связана с повторной записью данных в результате недостаточной проверки необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность и доступность защищаемой информации

Что делать с BDU:2025-02431

Высокая уязвимость (CVSS 8.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.1Высокий
Пересчитать →
v2
9.4
Только просмотр
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:HAV:N/AC:L/Au:N/C:N/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-754
Некорректная обработка исключений

Программа не обрабатывает нестандартные или ошибочные состояния. Приводит к непредсказуемому поведению.

Как атакуют и что делать ▾

Сценарий атаки

Программа не обрабатывает ошибку при отказе сети, диска, выделении памяти — продолжает работу с некорректным состоянием.

Последствия

Непредсказуемое поведение, повреждение данных, обход проверок безопасности.

Рекомендации

Обрабатывайте все коды ошибок, используйте fail-fast, логируйте нестандартные состояния.

Тактики и техники

Манипулирование сроками и состоянием

Уязвимое ПО (5)

ВендорНазваниеВерсияПлатформа
MongoDB Inc.MongoDBот 5.0.0 до 5.0.30 включительноНе указана
MongoDB Inc.MongoDBот 6.0.0 до 6.0.16 включительноНе указана
MongoDB Inc.MongoDBот 7.0.0 до 7.0.12 включительноНе указана
MongoDB Inc.MongoDB7.3.0Не указана
MongoDB Inc.MongoDBот 8.0.0 до 8.0.3 включительноНе указана

Рекомендации по устранению

Использование рекомендаций: https://jira.mongodb.org/browse/SERVER-89529 https://github.com/mongodb/mongo/commit/4e451d7c263cdc17a643bec9e2cf8049c949ee8d https://github.com/mongodb/mongo/commit/5953a863492260b37f377cf2733d0bc9b99802c3 https://github.com/mongodb/mongo/commit/d528c419abe0b23b1b0d9ab5f2ba2c18d706af5d https://github.com/mongodb/mongo/commit/37ae3c32ae03eb7d2900973026d51ace0f1a3c0e https://github.com/mongodb/mongo/commit/c7d8a5534391f198029b7518e0f8e5a9fdb1faf6 https://github.com/mongodb/mongo/commit/c7d8a5534391f198029b7518e0f8e5a9fdb1faf6 https://github.com/mongodb/mongo/commit/f3197ea4567bfefe766e0b72ed6cb26d2ad01920

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.1

Уточните SLA под вашу среду

Базовый балл 8.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

Информация

Обнаружена

2024-04-17

Опубликована

2025-03-10

Обновлена

2025-03-10

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0