概述
CVE-2025-11575 - MongoDB Atlas SQL ODBC驱动通过MSI安装时可能未在自定义安装目录上设置ACL
漏洞描述
MongoDB Atlas SQL ODBC驱动在Windows系统上存在不正确的默认权限漏洞,可能允许攻击者进行权限提升。此问题影响MongoDB Atlas SQL ODBC驱动版本:从1.0.0到2.0.0。
漏洞详情
CVSS评分: 8.8(高危) CVSS版本: 4.0
发布时间: 2025年10月23日 01:15 最后修改: 2025年10月23日 01:15 远程利用: 否 信息来源: cna@mongodb.com
受影响产品
- MongoDB Atlas SQL ODBC驱动版本1.0.0至2.0.0
解决方案
- 更新MongoDB Atlas SQL ODBC驱动到已修复不正确默认权限的版本
- 应用最新的安全补丁
- 审查并更正默认权限设置
相关资源
参考链接:
CWE关联
CWE-276: 不正确的默认权限
CAPEC攻击模式
- CAPEC-1: 访问ACL未正确约束的功能
- CAPEC-81: Web服务器日志篡改
- CAPEC-127: 目录索引
漏洞时间线
2025年10月23日:
- 新增漏洞描述
- 添加CVSS 4.0评分
- 添加CWE-276分类
- 添加参考链接