MongoDB Patches High-Severity Windows Vulnerability (CVE-2024-7553) in Multiple Products
2024/08/08 SecurityOnline — 人気の NoSQL データベース・プロバイダーである MongoDB が発表したのは、同社のサーバ/ドライバー製品の複数のバージョンに影響を及ぼす、深刻度の高い脆弱性に対するパッチ適用に関するものである。この脆弱性 CVE-2024-7553 (CVSS:7.3) の悪用に成功した悪意のローカル・ユーザーであれば、Windows システム上の最高レベルまで権限を昇格させ、完全な制御を奪う可能性を手にする。
技術的な詳細
この脆弱性は、信頼できないローカル。ディレクトリから読み込んだファイルを、MongoDB が処理する方法に起因する。Windows システムでは、この不適切な検証により、攻撃者がデータベース・ソフトウェアを騙して、これらのファイル内に含まれる任意のコードを実行させる可能性が生じる。この悪用に成功した攻撃者は、システム管理者と同じ権限を取得する可能性があるため、潜在的な影響は深刻である。
影響を受ける製品
以下の MongoDB 製品に脆弱性が存在する:
- MongoDB Server の v5.0.27/v6.0.16/v7.0.12/v7.3.3 未満
- MongoDB C Driver のバージョン 1.26.2 未満
- MongoDB PHP Driver のバージョン 1.18.1 未満
緊急対策
MongoDB は、Windows 環境で該当する製品を実行している、すべてのユーザーに対して、直ちに最新バージョンへとアップデートするよう呼びかけている。パッチが適用されるバージョンは以下の通りである:
- MongoDB Server の v5.0.27/v6.0.16/v7.0.12/v7.3.3 以降
- MongoDB C Driver のバージョン 1.26.2 以降
- MongoDB PHP Driver のバージョン 1.18.1 以降
管理者が優先すべきアップデートすべき、信頼できないユーザーに直接公開されているシステムである。
また、パッチ適用に加えて、データベース・システムのアクセス制御を見直すことが推奨される。最小権限の原則に従って、絶対に必要な権限のみを、最小限のユーザーに与えるようにする。
MongoDB の Server/C Driver/PHP Driver に脆弱性 CVE-2024-7553 (CVSS:7.3) が発生です。アドバイザリを見る限り、それぞれのプロダクトごとにアップデートが提供されているようです。なお、直近の MongoDB 関連のトピックは、2024/07/05 の「MongoDB Compass の脆弱性 CVE-2024-6376 (CVSS 9.8) が FIX:コード・インジェクションの恐れ」となっています。よろしければ、MongoDB で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.