以下の内容はhttps://vul.hatenadiary.com/entry/2025/02/21/000000より取得しました。

Vulnerabilities in MongoDB Library Allow RCE on Node.js Servers

CVE-2025-23061 (MongoDB) 脆弱性: CVE-2024-53900 (MongoDB) DB: MongoDB

【訳】

MongoDBライブラリの脆弱性により、Node.jsサーバーでRCEが可能に


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2024/12/02 2024/11/24 CVE-2024-53900 NVD ベンダー
9.1(CISA-ADP)
 CWE-89 SQLインジェクション - MongoDB
2025/01/15 2025/01/10 CVE-2025-23061 NVD ベンダー
9.0(MITRE)
 CWE-94 コード・インジェクション - MongoDB


【要約】

 Mongoose ODMライブラリに2つの重大な脆弱性(CVE-2024-53900、CVE-2025-23061)が発見され、攻撃者がNode.jsサーバー上でリモートコード実行(RCE)を行う可能性があるとOPSWATが報告。

 特に、$where演算子を悪用することで、不正なJavaScriptコードを実行可能。CVE-2024-53900のパッチは$whereの制限を導入したが、$or演算子に埋め込むことでバイパスが可能と判明。

 対策として、Mongooseをバージョン8.9.5以降に更新することが推奨される。


【ニュース】

◆Vulnerabilities in MongoDB Library Allow RCE on Node.js Servers (SecurityWeek, 2025/02/21)
[MongoDBライブラリの脆弱性により、Node.jsサーバーでRCEが可能に]
https://www.securityweek.com/vulnerabilities-in-mongodb-library-allow-rce-on-node-js-servers/


【関連まとめ記事】

全体まとめ
 ◆データベースの脆弱性 (まとめ)

◆MongoDB (まとめ)
https://vul.hatenadiary.com/entry/MongoDB



以上の内容はhttps://vul.hatenadiary.com/entry/2025/02/21/000000より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14