「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正

JSON形式のデータに対してクエリを実行したり、データの変換処理などが行える言語「JSONata」に脆弱性が明らかとなった。アップデートにて修正されている。

「同1.4.0以降」においてコンストラクタとプロトタイプのプロパティを上書きできるプロトライプ汚染の脆弱性「CVE-2024-27307」が明らかとなったもの。

ユーザーが提供する「JSONata」の式を評価するアプリケーションでは、リモートよりコードを実行されたり、サービス拒否、予期しない動作などが生じるおそれがあるという。開発チームでは重要度を「高（High）」としている。

一方GitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングした。

開発チームでは、「同2.0.4」「同1.8.7」にてオブジェクトのプロトタイプやコンストラクターに対する書き込みを禁止し、脆弱性を修正した。アップデートできない利用者に向けてパッチも公開している。

（Security NEXT - 2024/03/15 ）ツイート