MongoDB驱动扩展受mongoc_bulk_operation_t读取无效内存影响

漏洞详情

包名称: composer/mongodb/mongodb-extension (Composer)

受影响版本: < 1.21.2

已修复版本: 1.21.2

漏洞描述

当传递大型选项时，mongoc_bulk_operation_t可能读取无效内存。

严重程度

等级: 中等 CVSS总体评分: 6.9/10

CVSS v4基础指标

可利用性指标

• 攻击向量：本地
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：低
• 用户交互：无

脆弱系统影响指标

• 机密性：高
• 完整性：无
• 可用性：低

后续系统影响指标

• 机密性：无
• 完整性：无
• 可用性：无

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-12119
• https://github.com/mongodb/mongo-c-driver/releases/tag/1.30.6
• https://github.com/mongodb/mongo-c-driver/releases/tag/2.1.2
• https://github.com/mongodb/mongo-php-driver/releases/tag/1.21.2
• mongodb/mongo-php-driver@fa5b433
• https://jira.mongodb.org/browse/PHPC-2637

弱点分类

弱点: CWE-825 - 过期指针解引用

产品解引用了一个包含先前有效但现已无效内存位置的指针。

标识符

• CVE ID: CVE-2025-12119
• GHSA ID: GHSA-mwcc-7vpp-xmv9

源代码

mongodb/mongo-php-driver