CVE-2025-11695
Configuration may unexpectedly disable certificate validation
En resumen
El driver MongoDB para Rust desactiva la validación de certificados cuando se utiliza una configuración específica, contrariamente a lo que sugiere el nombre de la configuración. Esto permite que los atacantes intercepten conexiones cifradas sin ser detectados.
Detalle técnico
CWE-295: Validación Inadecuada de Certificado. Cuando tlsInsecure=False se configura en cadenas de conexión del driver MongoDB Rust versiones <3.2.5, la validación de certificado SSL/TLS se desactiva inesperadamente, permitiendo ataques de intermediario en conexiones a la base de datos. La vulnerabilidad resulta de una lógica invertida en el análisis de la configuración.
Resumen generado y traducido por IA a partir de la descripción oficial.
When tlsInsecure=False appears in a connection string, certificate validation is disabled.
This vulnerability affects MongoDB Rust Driver versions prior to v3.2.5
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
Productos afectados
MongoDB · Rust Driver¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://jira.mongodb.org/browse/RUST-2264