CVE-2025-11695
Configuration may unexpectedly disable certificate validation
Em resumo
O driver MongoDB para Rust desativa a validação de certificados quando uma configuração específica é usada, contrariando o que o nome da configuração sugere. Isso permite que atacantes interceptem conexões criptografadas sem serem detectados.
Detalhe técnico
CWE-295: Validação Inadequada de Certificado. Quando tlsInsecure=False é configurado em strings de conexão do MongoDB Rust Driver versões <3.2.5, a validação de certificado SSL/TLS é desativada inesperadamente, permitindo ataques de homem-no-meio em conexões com o banco de dados. A vulnerabilidade resulta de lógica invertida na análise da configuração.
Resumo gerado e traduzido por IA a partir da descrição oficial.
When tlsInsecure=False appears in a connection string, certificate validation is disabled.
This vulnerability affects MongoDB Rust Driver versions prior to v3.2.5
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Produtos afetados
MongoDB · Rust DriverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://jira.mongodb.org/browse/RUST-2264