Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「MongoDB」向けGUIにコードインジェクションの脆弱性

NoSQLデータベースの「MongoDB」向けに提供されているグラフィカルユーザーインタフェース(GUI)の「MongoDB Compass」に脆弱性が明らかとなった。アップデートが提供されている。

入力値の検証に不備があり、サンドボックスによる保護が不十分のため、コードインジェクションが可能となる脆弱性「CVE-2024-6376」が明らかとなったもの。

CVE番号を採番した「MongoDB」では、ローカル環境からのみ脆弱性を悪用でき、攻撃も複雑であるとして共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.0」、重要度を上から2番目にあたる「高(High)」と評価している。

一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、ネットワーク経由の攻撃が可能であり、攻撃も複雑ではないとして、CVSS基本を「9.8」、重要度をもっとも高い「クリティカル(Critical)」とレーティングした。

CVE番号が採番されたのは、現地時間6月27日だが、開発チームは、現地時間3月1日にリリースした「同1.42.2」にて同脆弱性を修正済みとしている。最新版は7月1日にリリースされた「1.43.4」となっている。

(Security NEXT - 2024/07/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

WPプラグイン「WooCommerce Social Login」に複数の脆弱性
特権アクセス管理製品「Symantec PAM」に複数脆弱性 - 「クリティカル」も
「Apache CloudStack」でSAML認証をバイパスされるおそれ
「サポート詐欺」の相談が3割増 - 過去最多を更新
省庁や独法などの攻撃対象領域保護を実施 - NISC
冊子発送先の個人情報を郵便局へ誤送付 - CCNC
2Qの脆弱性届け出は112件 - 前四半期から半減
高校生向けセミナーの申込フォームで設定ミス - 岩手県立大
6月のフィッシング、URL件数が過去最多を更新
障害はWindows端末の1%未満、重要サービスでの利用多く影響拡大