「MongoDB」向けGUIにコードインジェクションの脆弱性

NoSQLデータベースの「MongoDB」向けに提供されているグラフィカルユーザーインタフェース（GUI）の「MongoDB Compass」に脆弱性が明らかとなった。アップデートが提供されている。

入力値の検証に不備があり、サンドボックスによる保護が不十分のため、コードインジェクションが可能となる脆弱性「CVE-2024-6376」が明らかとなったもの。

CVE番号を採番した「MongoDB」では、ローカル環境からのみ脆弱性を悪用でき、攻撃も複雑であるとして共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.0」、重要度を上から2番目にあたる「高（High）」と評価している。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、ネットワーク経由の攻撃が可能であり、攻撃も複雑ではないとして、CVSS基本を「9.8」、重要度をもっとも高い「クリティカル（Critical）」とレーティングした。

CVE番号が採番されたのは、現地時間6月27日だが、開発チームは、現地時間3月1日にリリースした「同1.42.2」にて同脆弱性を修正済みとしている。最新版は7月1日にリリースされた「1.43.4」となっている。

（Security NEXT - 2024/07/08 ） ツイート

PR

関連記事

住民の個人情報を議員に漏洩した職員2人を懲戒処分 - 吉野町
学生向けシステム内に不正ファイル、個人情報流出の可能性も - 帝塚山学院大
ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
外部からの攻撃を検知、会員情報流出の可能性 - CNプレイガイド
個人情報約60万件が詐欺グループに - 個情委が名簿事業者に行政指導
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
顧客情報含むハンディ端末が所在不明に - ミツウロコヴェッセル