「MongoDB」向けGUIにコードインジェクションの脆弱性

NoSQLデータベースの「MongoDB」向けに提供されているグラフィカルユーザーインタフェース（GUI）の「MongoDB Compass」に脆弱性が明らかとなった。アップデートが提供されている。

入力値の検証に不備があり、サンドボックスによる保護が不十分のため、コードインジェクションが可能となる脆弱性「CVE-2024-6376」が明らかとなったもの。

CVE番号を採番した「MongoDB」では、ローカル環境からのみ脆弱性を悪用でき、攻撃も複雑であるとして共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.0」、重要度を上から2番目にあたる「高（High）」と評価している。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、ネットワーク経由の攻撃が可能であり、攻撃も複雑ではないとして、CVSS基本を「9.8」、重要度をもっとも高い「クリティカル（Critical）」とレーティングした。

CVE番号が採番されたのは、現地時間6月27日だが、開発チームは、現地時間3月1日にリリースした「同1.42.2」にて同脆弱性を修正済みとしている。最新版は7月1日にリリースされた「1.43.4」となっている。

（Security NEXT - 2024/07/08 ） ツイート

PR

関連記事

職員などの個人情報含む書類を外出時に紛失か - 志摩市
全校生徒の個人情報を流出させた教師を懲戒処分 - 愛媛県
「MS Edge」にセキュリティアップデート - 独自修正も
Apple、「macOS Tahoe 26.1」をリリース - 脆弱性105件を修正
マルウェアがSlack認証情報を窃取、個人情報や履歴が流出か - 日経
クレカ会員向け福利厚生サービスで別人情報を表示 - システム不具合で
物流関連サービスへ不正アクセス、個人情報流出のおそれ - 西濃運輸
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「React Native CLI」に脆弱性 - 外部よりコマンド実行のおそれ
コンタクトセンター向け製品「Cisco Unified CCX」に深刻な脆弱性