Se han descubierto vulnerabilidades de severidad alta en los drivers ODBC de MongoDB Atlas SQL y BI Connector. Un actor malicioso podría escalar privilegios en sistemas afectados mediante la explotación de permisos incorrectos en archivos instalados.
Productos afectados
- Atlas SQL ODBC driver: versiones desde 1.0.0 hasta 2.0.0
- BI Connector ODBC driver: versiones desde 1.0.0 hasta 1.4.6
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-11575: con una puntuación de 8.8 en CVSS v4.0. Existe una vulnerabilidad de permisos por defecto incorrectos en MongoDB Atlas SQL ODBC driver para Windows. Un actor malicioso con privilegios bajos podría manipular archivos instalados por el driver y escalar privilegios en el sistema.
CVE-2025-12100: con una puntuación de 8.8 en CVSS v4.0. Existe una vulnerabilidad de permisos por defecto incorrectos en MongoDB BI Connector ODBC driver. Un actor malicioso con privilegios bajos podría modificar componentes críticos y obtener privilegios elevados en el sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-11575
- https://www.cve.org/CVERecord?id=CVE-2025-12100
- https://github.com/mongodb/mongo-bi-connector-odbc-driver/releases/tag/v1.4.7
- https://www.mongodb.com/docs/atlas/release-notes/sql/