Eine kürzlich veröffentlichte Sicherheitswarnung weist auf eine kritische Schwachstelle in MongoDB Compass hin, die aufgrund unzureichender Sandbox-Schutzmechanismen zu einer Code-Injection führen kann. Die Schwachstelle (CVE-2024-6376) wurde als hochgradig gefährlich eingestuft und erhielt einen CVSS-Score von 7.0. Sie resultiert aus den unsicheren Sandbox-Einstellungen, die beim Einsatz des ejson Shell-Parsers in der Verbindungsverwaltung von Compass auftreten. Diese unsicheren Einstellungen ermöglichen es Angreifern, schädlichen Code in das System einzuschleusen. Es sind jedoch lokale Zugriffsrechte notwendit, was die Angriffskomplexität erhöht. Die Schwachstelle betrifft alle Versionen von MongoDB Compass vor Version 1.42.2 und wurde in der letzten Woche in der GitHub Advisory Database und der National Vulnerability Database veröffentlicht.
Benutzern von MongoDB Compass wird dringend empfohlen, ihre Software auf die neueste Version zu aktualisieren, um sich vor dieser Schwachstelle zu schützen. Bis zur Aktualisierung sollten Nutzer besonders vorsichtig bei der Nutzung von ejson Shell-Parsers und der Verbindungsverwaltung sein.
Referenzen
- National Vulnerability Database: CVE-2024-6376
- Jira MongoDB Issue Tracker: COMPASS-7496
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: