CVE-2025-14911
Integer Overflow in GridFS chunkSize Leading to Heap Allocation Failure
En resumen
MongoDB GridFS no valida adecuadamente el tamaño de bloque (chunkSize) controlado por el usuario, permitiendo que atacantes envíen metadatos malformados que causan desbordamiento de enteros y fallo en la asignación de memoria, resultando en denegación de servicio.
Detalle técnico
Existe una vulnerabilidad de desbordamiento de enteros en GridFS de MongoDB donde los metadatos chunkSize controlados por el usuario carecen de validación apropiada, permitiendo que un atacante cree objetos GridFS con metadatos manipulados que desbordan límites enteros, causando fallos en la asignación de heap y bloqueo de la aplicación. La explotación requiere capacidad para crear u modificar objetos GridFS.
Resumen generado y traducido por IA a partir de la descripción oficial.
User-controlled chunkSize metadata from MongoDB lacks appropriate validation allowing malformed GridFS metadata to overflow the bounding container.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Productos afectados
MongoDB · Mongo-c-driver¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://jira.mongodb.org/browse/CDRIVER-6125