「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
JSON形式のデータに対してクエリを実行したり、データの変換処理などが行える言語「JSONata」に脆弱性が明らかとなった。アップデートにて修正されている。
「同1.4.0以降」においてコンストラクタとプロトタイプのプロパティを上書きできるプロトライプ汚染の脆弱性「CVE-2024-27307」が明らかとなったもの。
ユーザーが提供する「JSONata」の式を評価するアプリケーションでは、リモートよりコードを実行されたり、サービス拒否、予期しない動作などが生じるおそれがあるという。開発チームでは重要度を「高(High)」としている。
一方GitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングした。
開発チームでは、「同2.0.4」「同1.8.7」にてオブジェクトのプロトタイプやコンストラクターに対する書き込みを禁止し、脆弱性を修正した。アップデートできない利用者に向けてパッチも公開している。
(Security NEXT - 2024/03/15 )
ツイート
PR
関連記事
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
