В версии SimStudio ниже 0.5.74 конечные точки инструмента MongoDB принимают произвольные параметры соединения от вызывающей стороны без аутентификации или ограничений хоста. Злоумышленник может использовать эти конечные точки для подключения к любому доступному экземпляру MongoDB и выполнения несанкционированных операций, включая чтение, изменение и удаление данных.
Показать оригинальное описание (EN)
On SimStudio version below to 0.5.74, the MongoDB tool endpoints accept arbitrary connection parameters from the caller without authentication or host restrictions. An attacker can leverage these endpoints to connect to any reachable MongoDB instance and perform unauthorized operations including reading, modifying, and deleting data.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1