← volver
CVE-2025-10491

MongoDB Windows installation MSI may leave ACLs unset on custom installation directories

CVSS 7.8 HIGHEPSS 0.1%CWE-284
Vexday Risk Score
21Bajo
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS 7.8EPSS 0.1%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
15 sep 2025Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
The MongoDB Windows installation MSI may leave ACLs unset on custom installation directories allowing a local attacker to introduce executable code to MongoDB's process via DLL hijacking. This issue affects MongoDB Server v6.0 version prior to 6.0.25, MongoDB Server v7.0 version prior to 7.0.21 and MongoDB Server v8.0 version prior to 8.0.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
MongoDB Inc · MongoDB Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://jira.mongodb.org/browse/SERVER-51366