MongoDB – IoT OT Security News

MongoDB Server の脆弱性 CVE-2025-6709 が FIX：未認証リモート DoS 攻撃の可能性

MongoDB Server Pre-Authentication Vulnerability Let Attackers Trigger DoS Condition

2025/06/27 CyberSecurityNews — MongoDB Server に、深刻な脆弱性 CVE-2025-6709 (CVSS：7.5) が発見された。この認証を必要としないサービス拒否攻撃 (DoS) の脆弱性は、MongoDB Server の 6.0／7.0／8.0 リリース・ブランチの複数のバージョンに影響を及ぼす。この脆弱性は、サーバの OpenID Connect (OIDC) 認証メカニズムにおける不適切な入力検証に起因し、攻撃者は認証情報の入力を必要とせずに、データベース・インスタンスをクラッシュさせる可能性を手にする。この深刻度の高い脆弱性は、本番環境で脆弱な MongoDB デプロイメントを実行している組織にとって重大なリスクとなる。

MongoDB の脆弱性 CVE-2025-3083／3084／3085 が FIX：サービス拒否や認証バイパスの恐れ

MongoDB Patches: DoS & Bypass Risks Addressed

2025/04/02 SecurityOnline — 人気のオープンソース NoSQL データベースである MongoDB が公表したのは、新たに公開された３つの脆弱性に対処するパッチのリリースである。これらの脆弱性の悪用に成功した攻撃者は、MongoDB デプロイメントに対して、サービス拒否攻撃や認証バイパス攻撃を仕掛ける可能性を手にする。

MongoDB C Driver の脆弱性 CVE-2025-0755 が FIX：バッファ・オーバーフローとクラッシュ

CVE-2025-0755: MongoDB C Driver Vulnerability Could Lead to Buffer Overflow

2025/03/19 SecurityOnline — MongoDB が公表したのは、C Driver ライブラリで発見された脆弱性に関する情報である。脆弱性 CVE-2025-0755 (CVSS：8.4) は、このライブラリ内の bson_append 関数に影響を及ぼすものであり、悪用によりバッファ・オーバーフロー攻撃が引き起こされ、アプリケーション・クラッシュの可能性が生じるという。

Percona PMM OVA の脆弱性 CVE-2025-26701 (CVSS 10) が FIX：ルート認証情報の漏洩

CVE-2025-26701 (CVSS 10): Percona PMM OVA Users at Risk of Unauthorized Access

2025/03/14 SecurityOnline — Percona Monitoring and Management (PMM) の、Open Virtual Appliance (OVA) に深刻なセキュリティ脆弱性が発見され、そのデータベース環境に深刻なリスクが生じている。この脆弱性 CVE-2025-26701 (CVSS：10.o) の悪用に成功した攻撃者は、不正なルート・アクセスを達成し、機密性の高いシステム認証情報を漏洩させる可能性を得るという。

Apache NiFi の脆弱性 CVE-2025-27017 が FIX：MongoDB 資格情報の漏洩の可能性

CVE-2025-27017: Apache NiFi Vulnerability Exposes MongoDB Credentials

2025/03/12 SecurityOnline — 世界中の数多くの組織で利用される、人気のデータフロー自動化ツール Apache NiFi に、セキュリティ脆弱性 CVE-2025-27017 が発見された。この脆弱性の悪用により、機密性の高い MongoDB 認証情報への不正アクセスの可能性が生じるという。その影響の範囲は、Apache NiFi のバージョン 1.13.0 〜 2.2.0 となる。

Mongoose の脆弱性 CVE-2025-23061 (CVSS：9.0) が FIX: 直ちにアップデートを！

CVE-2025-2306 (CVSS 9.0): Mongoose Flaw Leaves Millions of Downloads Exposed to Search Injection

2025/01/19 SecurityOnline — 人気の MongoDB オブジェクト・モデリング・ツール Mongoose に、新たな脆弱性が発見された。それにより、検索インジェクション攻撃の影響が、何百万ものユーザーに及ぶ可能性が生じている。この脆弱性 CVE-2025-23061 (CVSS：9.0) は、Mongoose のバージョン 8.9.5 未満の影響を及ぼす。この脆弱性は、populate() マッチングと、ネストされた $where フィルタの不適切な処理に起因しており、攻撃者に対して、検索結果の操作と、機密データへ不正アクセスが許されるという。

MongoDB の深刻な脆弱性 CVE-2024-7553 が FIX：ただちにパッチを！

MongoDB Patches High-Severity Windows Vulnerability (CVE-2024-7553) in Multiple Products

2024/08/08 SecurityOnline — 人気の NoSQL データベース・プロバイダーである MongoDB が発表したのは、同社のサーバ／ドライバー製品の複数のバージョンに影響を及ぼす、深刻度の高い脆弱性に対するパッチ適用に関するものである。この脆弱性 CVE-2024-7553 (CVSS：7.3) の悪用に成功した悪意のローカル・ユーザーであれば、Windows システム上の最高レベルまで権限を昇格させ、完全な制御を奪う可能性を手にする。

MongoDB Compass の脆弱性 CVE-2024-6376 (CVSS 9.8) が FIX：コード・インジェクションの恐れ

CVE-2024-6376 (CVSS 9.8) in MongoDB Compass Exposes Systems to Code Injection Risks

2024/07/05 SecurityOnline — MongoDB データのクエリ／集計／分析に広く使われる GUI である、MongoDB Compass に深刻な脆弱性が発見された。このツールは、macOS／Windows／Linux に対応するクロス・プラットフォームとして、堅牢な機能を提供することで知られているが、現在は、深刻なセキュリティ上の課題に直面している。

クラウドに CVE は必要？不要？：変容する脆弱性の管理について考える – Veracode

Why cloud vulnerabilities need CVEs

2024/05/01 HelpNetSecurity — いまの世界において、脆弱性の管理の目的を考えるとき、新しいテクノロジーへの大きな移行を認識する必要がある。たとえばクラウドなどの、各種のパラダイムや環境の中で、リスクを管理する方式を認識することが不可欠となる。ネットワーク・セキュリティの継ぎ接ぎは、同じようにクラウド環境に適用できないだろうし、脆弱性に CVE 識別子を割り当てるクラウド・プロバイダーもほとんどいないという状況である。

MongoDB で発生したデータ侵害：顧客データの一部に不正アクセスか？

MongoDB Suffers Security Breach, Exposing Customer Data

2023/12/17 TheHackerNews — 12月16日 (土) に MongoDB は、特定の企業システムへの不正アクセスが生じたことを明らかにした。このインシデントにより、顧客アカウントのメタデータと連絡先情報が流出しており、その原因などを積極的に調査していると述べている。MongoDB が異常な活動を検知したのは 12月13日であり、その時点で、直ちにインシデント対応活動を開始したと説明している。

3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954：パッチ提供までの緩和策は？

CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration

2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。

PyPI パッケージに漏れ出したシークレット情報：何千ものハードコードされた認証情報が存在

PyPI Packages Found to Expose Thousands of Secrets

2023/11/14 SecurityWeek — PyP Iパッケージにコミットされた Python コードを分析した結果において、何千ものハードコードされた認証情報が存在することが明らかになったと、コード・セキュリティ企業の GitGuardian が警告している。GitGuardian はセキュリティ研究者の Tom Forbes と共同で、約3,000の PyPI パッケージの中にある 4,000件ほどのユニークなシークレットを発見し、このうちの 760件以上が有効であると判明したとしている。

Fortinet 製品群へのパッチ適用：Redis／MongoDB インスタンスへの不正アクセスも？

Fortinet Patches Critical Vulnerability in Data Analytics Solution

2023/04/12 SecurityWeek — Fortinet の FortiPresence は、ホスト型クラウド・サービスまたは仮想マシンとして、プライベート・インストールが可能なデータ分析ソリューションであり、ヒートマップやレポートなどを提供する。今週に Fortinet は、FortiPresence インフラ・サーバに存在する深刻な認証欠落の脆弱性が、Redis／MongoDB インスタンスへの不正アクセスに悪用される可能性があると発表した。