CVE-2024-6376 (CVSS 9.8)MongoDB Compass 存在代码注入漏洞

flyme 独眼情报 2024-07-06 10:38

最近的一项发现揭示了 MongoDB Compass 中的一个严重安全漏洞，MongoDB Compass 是一个广泛使用的图形用户界面 (GUI)，用于查询、聚合和分析
MongoDB
数据。这款工具以其强大的功能和在 macOS、Windows 和 Linux 上的跨平台支持而闻名，现在面临着重大的安全挑战。

该漏洞被识别为
CVE-2024-6376
，
源于

由于 Compass 连接处理中使用的 ejson shell 解析器中的沙盒保护设置不足。此缺陷可能允许恶意行为者在运行受影响版本的软件的系统上执行任意代码。

对于用户来说，影响是严重的。运行易受攻击的 MongoDB Compass 版本的系统容易受到攻击，从而导致数据丢失、损坏和未经授权的访问。MongoDB 在各个行业的广泛使用放大了潜在影响，使其成为依赖该技术的组织迫切关注的问题。

MongoDB Compass 1.42.2 之前的版本受此漏洞影响，使众多用户面临风险。美国国家漏洞数据库 (NVD) 为该漏洞评定的 CVSS 评分为
9.8
，表明其严重性。相比之下，MongoDB, Inc. 对该漏洞的 CVSS 评分为
7.0
，突显了其严重性，但风险参数略低。

MongoDB 已发布 Compass 1.42.2
版本，及时修复了 CVE-2024-6376 漏洞

.强烈建议用户立即更新至此最新版本，以保护自己免受潜在攻击。