MongoDB Compass kódbefecskendezéses sérülékenység

Jelentős biztonsági hibát azonosítottak a MongoDB Compass-ban, a MongoDB adatelemzéséhez széles körben használt, platformokon átívelő grafikus felhasználói felületen. A CVE-2024-6376 jelű sebezhetőség a Compass kapcsolatkezelésének nem megfelelő sandbox védelmi beállításaiból adódik. A hiba az ejson shell parserből ered, és lehetővé teheti rosszindulatú felek számára, hogy tetszőleges kódot futtassanak az érintett szoftververziókat használó rendszereken. A szoftverfelhasználóknak kritikus következményekkel kell szembenézniük, a potenciális kockázatok között adatvesztés, adatintegritás sérülés, és jogosulatlan hozzáférés is szerepel.

A sebezhetőség következményeit felnagyítja a MongoDB számos ágazatban történő széles körű használata, ami potenciális veszélyt jelent az ezt a technológiát használó szervezetekre. Az 1.42.2 verziószámig terjedő MongoDB Compass verziók érintettek, ami számos felhasználó számára jelentős kockázatot jelent. A sérülékenység javítására a MongoDB kiadott egy frissítést (1.42.2 verzió), és minden felhasználót arra kérnek, hogy haladéktalanul frissítse szoftverét erre a legújabb verzióra.

(forrás)