「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正

JSON形式のデータに対してクエリを実行したり、データの変換処理などが行える言語「JSONata」に脆弱性が明らかとなった。アップデートにて修正されている。

「同1.4.0以降」においてコンストラクタとプロトタイプのプロパティを上書きできるプロトライプ汚染の脆弱性「CVE-2024-27307」が明らかとなったもの。

ユーザーが提供する「JSONata」の式を評価するアプリケーションでは、リモートよりコードを実行されたり、サービス拒否、予期しない動作などが生じるおそれがあるという。開発チームでは重要度を「高（High）」としている。

一方GitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングした。

開発チームでは、「同2.0.4」「同1.8.7」にてオブジェクトのプロトタイプやコンストラクターに対する書き込みを禁止し、脆弱性を修正した。アップデートできない利用者に向けてパッチも公開している。

（Security NEXT - 2024/03/15 ） ツイート

PR

関連記事

DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
病院職員が患者情報含む受付画面をSNS投稿 - 岩見沢市
土地家屋調査士試験の申請書を誤廃棄 - 保存期間の表示漏れで
学会掲載論文の図表に患者の個人情報 - 神奈川県立病院機構
eラーニングシステムで利用者情報が閲覧可能に - 学研Meds
サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大
介護サービス事業所変更届を第三者にメール誤送信 - 笠間市
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響