CVE-2024-6376 (CVSS 9.8) in MongoDB Compass Exposes Systems to Code Injection Risks
2024/07/05 SecurityOnline — MongoDB データのクエリ/集計/分析に広く使われる GUI である、MongoDB Compass に深刻な脆弱性が発見された。このツールは、macOS/Windows/Linux に対応するクロス・プラットフォームとして、堅牢な機能を提供することで知られているが、現在は、深刻なセキュリティ上の課題に直面している。
この脆弱性 CVE-2024-6376 は、Compass の接続処理で使用される “ejson” シェル・パーサ内の、サンドボックス保護設定が不十分であることに起因する。この脆弱性の悪用に成功した攻撃者は、対象バージョンのソフトウェアを実行しているシステム上で、任意のコード実行をする可能性を手にする。
その影響力は、ユーザーにとって深刻である。脆弱なバージョンの MongoDB Compass を実行しているシステムが攻撃されると、データの損失/破損/不正アクセスにつながる可能性が高い。 MongoDB は、さまざまな業界で使用されているため、潜在的な影響が増幅され、このツールに依存している組織にとって喫緊の課題となっている。
この脆弱性の影響を受けるのは、MongoDB Compass バージョン 1.42.2 以下であり、多くのユーザーが危険にさらされている。NVD は、この脆弱性に CVSS 9.8 を割り当てて、重大性を示している。その一方で、MongoDB は、この脆弱性を CVSS 7.0 と評価しており、重大性は強調されているが、リスク・パラメータが若干低いことを示している。
すでに MongoDB は、Compass のバージョン 1.42.2 をリリースし、この脆弱性に対処している。ユーザーに強く推奨されるのは、最新バージョンへと迅速にアップデートし、潜在的な攻撃から身を守ることである。
MongoDB Compass で、サンドボックス・エスケープの脆弱性が発生とのことです。最近の類似の脆弱性としては、2024/06/21 の「Python ライブラリ js2py の脆弱性 CVE-2024-28397:PoC エクスプロイトと技術的詳細が公開」があります。タイトルでは触れられていませんが、こちらもサンドボックス・エスケープの問題です。よろしければ、MongoDB で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.