Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
MongoDB Server no valida adecuadamente ciertos valores de fecha al recibir JSON durante la autenticación OIDC. Un atacante puede enviar un payload malicioso incluso usando el mongo shell, provocando una falla del programa (invariant failure) que reinicia o bloquea el servidor.
Recursos afectados
- MongoDB Server v6.0 < 6.0.21 (requiere autenticación)
- MongoDB Server v7.0 < 7.0.17 (pre‑autenticación)
- MongoDB Server v8.0 < 8.0.5 (pre‑autenticación)
Solución
Actualizar a las siguientes versiones o superiores:
- 6.0.21
- 7.0.17
- 8.0.5
Recomendaciones
- Realizar una actualización inmediata en entornos que usen autenticación OIDC.
- Si se usa una versión vulnerable, limitar temporalmente el acceso al puerto MongoDB a IPs de confianza.
- Implementar monitoreo y alertas para detectar reinicios inesperados del servidor.
- Aplicar defensas en capas: protección de red, autenticación fuerte y control de carga.
Referencias