CVE-2025-12119

Bulk write with options may read invalid memory

CVSS 6.9 MEDIUMEPSS 0.2%CWE-825

En resumen

El controlador C de MongoDB puede fallar o leer datos sensibles cuando se pasan opciones muy grandes a operaciones de escritura masiva. Esto ocurre porque el código no valida adecuadamente el tamaño de estas opciones antes de procesarlas.

Detalle técnico

Existe una vulnerabilidad de desbordamiento de búfer en mongoc_bulk_operation_t al procesar parámetros de opciones sobredimensionadas. La vulnerabilidad permite que un atacante con capacidad de controlar opciones de operación masiva desencadene lecturas fuera de los límites de memoria, potencialmente causando divulgación de información o negación de servicio. El código afectado carece de validación adecuada de límites durante el análisis de opciones.

Resumen generado y traducido por IA a partir de la descripción oficial.

A mongoc_bulk_operation_t may read invalid memory if large options are passed.

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N

Productos afectados

MongoDB · C Driver MongoDB · PHP Driver

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/mongodb/mongo-c-driver/releases/tag/1.30.6 https://github.com/mongodb/mongo-c-driver/releases/tag/2.1.2 https://github.com/mongodb/mongo-php-driver/releases/tag/1.21.2 https://lists.debian.org/debian-lts-announce/2026/01/msg00009.html