「MongoDB」向け「BSONパーサー」にRCE脆弱性 - アップデートで修正

「Node.js」環境で利用できるオープンソースのバックエンド「Parse Server」にて提供されている「MongoDB」用の「BSONパーサー」にあらたな脆弱性が明らかとなった。

「BSONパーサー」にプロトタイプ汚染攻撃が可能となる「CVE-2023-36475」が明らかとなったもの。同脆弱性を悪用されるとリモートよりコードを実行されるおそれがある。

GitHubにおいて共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。

開発者は、データベースアダプタにおいて対策を講じた「同6.2.1」「同5.5.2」を現地時間6月28日にリリース。あわせて回避策をアナウンスしている。

（Security NEXT - 2023/07/05 ） ツイート

PR

関連記事

「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
従業員メルアカが不正利用、取引先へ不審メール - トーホー
ランサムウェア被害を確認、詳細は調査中 - FA機器開発会社
委託先で顧客情報流出、無断転用のファイルに残存 - GMOあおぞら銀
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
「Chrome」が脆弱性31件を修正 - 5件は「クリティカル」