Sintesi
MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” che interessa la sandbox del parser ejson di MongoDB Compass, applicazione grafica per l’interazione con il database MongoDB. Tale vulnerabilità potrebbe essere sfruttata per eseguire codice arbitrario nel contesto dell’applicazione.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (58,72/100)1.
Tipologia
- Arbitrary Code Execution
Prodotti e versioni affette
MongoDB Compass, versioni precedenti alla 1.42.2
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://jira.mongodb.org/browse/COMPASS-7496
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
