MongoDB: LDAP-Query-Passwort im Klartext in mongod.log protokolliert
Kennzahlen
- CVSS-Basiswert
- 5.5
- EPSS
- 0.11%
- Veröffentlicht
- Aktualisiert
- Quelle
- NVD
Beschreibung
Wird der Parameter ldapQueryPassword zur Laufzeit über den Befehl setParameter gesetzt, protokolliert MongoDB das neue Passwort im Klartext in der Datei mongod.log. Dies führt zu einer lokalen Preisgabe vertraulicher Zugangsdaten. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Hersteller-Advisory beachten und ein bereitgestelltes Update einspielen.
Changelog
-
2026-07-14 · zuletzt
- Report neu erstellt.
Automatisch aus dem Vergleich der Datenstände erzeugt (CVSS, Schweregrad, KEV-Status, Ransomware, betroffene Produkte, EPSS-Sprünge ab 5 Prozentpunkten). Nicht redaktionell verfasst.
Betroffene Produkte
Quellen und Referenzen
Weitere Schwachstellen in MongoDB
- MongoDB Server – Improper Handling of Length Parameter Inconsistency KEV CVE-2025-14847
- MongoDB mongo-express – Remote Code Execution KEV CVE-2019-10758
- CVE-2026-57898 – Unauthentifizierter Arbitrary File Write im Eclipse BaSyx Java Server SDK (MongoDB-Backend) CVE-2026-57898
- MongoDB Server – Use-after-free in der serverseitigen JavaScript-Engine CVE-2026-11933
- CVE-2026-8053 – MongoDB Server: Out-of-Bounds-Schreibfehler in Zeitreihenkollektionen CVE-2026-8053
- CVE-2026-4148 – MongoDB Use-After-Free in $lookup/$graphLookup Aggregation CVE-2026-4148
Feed folgen, kostenlos
Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.
RSS-Feed öffnen Zustellung anfragenÜber diesen Report
- Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
- Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
- NIS2/CRA-relevante Produkte im DACH-Markt.