Se ha descubierto una vulnerabilidad de severidad alta en MongoDB. Un actor malicioso podría lograr la ejecución remota de código.
Productos afectados
- MongoDB Server v6.0, versiones anteriores a 6.0.25.
- MongoDB Server v7.0, versiones anteriores a 7.0.21.
- MongoDB Server v8.0, versiones anteriores a 8.0.5.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-10491: con una puntuación de 7.8 en CVSS v3.1. El instalador MSI de MongoDB en Windows podría dejar listas de control de acceso (ACL) no definidas en directorios de instalación personalizados. Un actor malicioso podría introducir código ejecutable a través de DLL hijacking.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-10491
- https://jira.mongodb.org/browse/SERVER-106749?jql=project%20%3D%20SERVER%20AND%20fixVersion%20%3D%208.1.0-rc0