最近的一项发现揭示了 MongoDB Compass 中的一个严重安全漏洞,MongoDB Compass 是一个广泛使用的图形用户界面 (GUI),用于查询、聚合和分析MongoDB数据。这款工具以其强大的功能和在 macOS、Windows 和 Linux 上的跨平台支持而闻名,现在面临着重大的安全挑战。
该漏洞被识别为CVE-2024-6376,源于由于 Compass 连接处理中使用的 ejson shell 解析器中的沙盒保护设置不足。此缺陷可能允许恶意行为者在运行受影响版本的软件的系统上执行任意代码。
对于用户来说,影响是严重的。运行易受攻击的 MongoDB Compass 版本的系统容易受到攻击,从而导致数据丢失、损坏和未经授权的访问。MongoDB 在各个行业的广泛使用放大了潜在影响,使其成为依赖该技术的组织迫切关注的问题。
MongoDB Compass 1.42.2 之前的版本受此漏洞影响,使众多用户面临风险。美国国家漏洞数据库 (NVD) 为该漏洞评定的 CVSS 评分为9.8,表明其严重性。相比之下,MongoDB, Inc. 对该漏洞的 CVSS 评分为7.0,突显了其严重性,但风险参数略低。
MongoDB 已发布 Compass 1.42.2版本,及时修复了 CVE-2024-6376 漏洞.强烈建议用户立即更新至此最新版本,以保护自己免受潜在攻击。
原文始发于微信公众号(独眼情报):CVE-2024-6376 (CVSS 9.8)MongoDB Compass 存在代码注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论