یک آسیبپذیری با شناسه CVE-2024-3371 و شدت بالا (7.1) در MongoDB Compass کشف شده است. طبق بررسیهای صورت گرفته MongoDB Compass ورودی یک منبع خارجی را بدون اعتبارسنجی کافی میپذیرد و از آن استفاده میکند. این نقص در صورت بهرهبرداری باعث میشود مهاجم به اطلاعات حساس و مهم دسترسی پیدا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L بهرهبرداری از آنها از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه بوده و بهراحتی قابل تکرار نیست و به شرایط خاصی نیاز است(AC:H)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:L).
محصولات تحت تأثیر
این آسیبپذیری نسخههای 1.35.0 تا 1.40.5 MongoDB Compass را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران MongoDB Compass را به نسخه 1.42.1 بهروزرسانی کنند.
منبع خبر:
- 49