TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > アプリ: MongoDB > Vulnerabilities in MongoDB Library Allow RCE on Node.js Servers

Vulnerabilities in MongoDB Library Allow RCE on Node.js Servers

アプリ: MongoDB 技術: NoSQL *脆弱性

【訳】

MongoDBライブラリの脆弱性により、Node.jsサーバーでRCEが可能に


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2024/12/02 2024/11/24 CVE-2024-53900 NVD ベンダー
9.1(CISA-ADP)
 CWE-89 SQLインジェクション - MongoDB
2025/01/15 2025/01/10 CVE-2025-23061 NVD ベンダー
9.0(MITRE)
 CWE-94 コード・インジェクション - MongoDB


【要約】

 Mongoose ODMライブラリに2つの重大な脆弱性(CVE-2024-53900、CVE-2025-23061)が発見され、攻撃者がNode.jsサーバー上でリモートコード実行(RCE)を行う可能性があるとOPSWATが報告。

 特に、$where演算子を悪用することで、不正なJavaScriptコードを実行可能。CVE-2024-53900のパッチは$whereの制限を導入したが、$or演算子に埋め込むことでバイパスが可能と判明。

 対策として、Mongooseをバージョン8.9.5以降に更新することが推奨される。


【ニュース】

◆Vulnerabilities in MongoDB Library Allow RCE on Node.js Servers (SecurityWeek, 2025/02/21)
[MongoDBライブラリの脆弱性により、Node.jsサーバーでRCEが可能に]
https://www.securityweek.com/vulnerabilities-in-mongodb-library-allow-rce-on-node-js-servers/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023