Sintesi
MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per risolvere 5 vulnerabilità, di cui 3 con gravità “alta”, che interessano i prodotti MongoDB Compass e MongoDB Shell. Tali vulnerabilità potrebbero essere sfruttate da un utente malevolo per eseguire codice arbitrario e/o per elevare i propri privilegi sulle istanze interessate.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Medio (63.58)
Tipologia
- Privilege Escalation
- Arbitrary Code Execution
Prodotti e/o versioni affette
MongoDB
- mongosh, versioni precedenti alla 2.3.0
- Compass, versioni precedenti alla 1.42.1
N.B. Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nei relativi bollettini di sicurezza.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
Riferimenti
https://jira.mongodb.org/browse/MONGOSH-2024
https://jira.mongodb.org/browse/MONGOSH-2028
https://jira.mongodb.org/browse/COMPASS-9058
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
