CVE-2025-40906

BSON::XS versions 0.8.4 and earlier for Perl includes a bundled libbson 1.1.7, which has several vulnerabilities

CVSS 9.8 CRITICALEPSS 0.5%CWE-1104 CWE-122 CWE-1395 CWE-190

En resumen

BSON::XS, una biblioteca Perl para procesar datos de MongoDB, incluye una versión desactualizada de libbson con múltiples vulnerabilidades de seguridad conocidas. Usar esta biblioteca expone su aplicación a vulnerabilidades graves que los atacantes pueden explotar.

Detalle técnico

BSON::XS ≤0.8.4 agrupa libbson 1.1.7 que contiene múltiples CVEs sin parches, incluyendo desbordamientos de búfer, desbordamientos de enteros y corrupción de memoria (CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, CVE-2025-0755). La biblioteca alcanzó fin de vida en agosto de 2020 y no recibe actualizaciones de seguridad; la explotación ocurre mediante entrada BSON malformada durante la deserialización.

Resumen generado y traducido por IA a partir de la descripción oficial.

BSON::XS versions 0.8.4 and earlier for Perl includes a bundled libbson 1.1.7, which has several vulnerabilities. Those include CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, and CVE-2025-0755. BSON-XS was the official Perl XS implementation of MongoDB's BSON serialization, but this distribution has reached its end of life as of August 13, 2020 and is no longer supported.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

MONGODB · BSON::XS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.debian.org/debian-lts-announce/2025/05/msg00012.html https://www.mongodb.com/community/forums/t/mongodb-perl-driver-end-of-life/7890