CVE-2026-3431
KrytyczneStreszczenie
W wersjach SimStudio poniżej 0.5.74, punkty końcowe narzędzia MongoDB akceptują dowolne parametry połączenia od wywołującego bez uwierzytelnienia lub ograniczeń dotyczących hosta. Atakujący może wykorzystać te punkty końcowe do połączenia się z dowolną dostępną instancją MongoDB i przeprowadzenia nieautoryzowanych operacji, w tym odczytu, modyfikacji i usuwania danych.
Ocena ryzyka
Organizacja jest narażona na nieautoryzowany dostęp do danych w instancjach MongoDB, co może prowadzić do utraty poufności, integralności i dostępności danych. Potencjalne konsekwencje obejmują kradzież danych oraz ich nieautoryzowane modyfikacje.
Rekomendacja
Zaleca się aktualizację SimStudio do wersji 0.5.74 lub nowszej oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i ograniczeń hostów dla punktów końcowych MongoDB.
Oryginalny opis (angielski, źródło NVD)
On SimStudio version below to 0.5.74, the MongoDB tool endpoints accept arbitrary connection parameters from the caller without authentication or host restrictions. An attacker can leverage these endpoints to connect to any reachable MongoDB instance and perform unauthorized operations including reading, modifying, and deleting data.

