MongoDB ha lanzado una actualización de seguridad que afecta la zona de pruebas del analizador ejson de MongoDB Compass, una aplicación gráfica para interactuar con la base de datos MongoDB.
Productos afectados:
- MongoDB Compass versiones anteriores a 1.42.2
Impacto:
La vulnerabilidad se identifica como CVE-2024-6376: con una puntuación en CVSSv3 de 7.0, de severidad alta. Esta vulnerabilidad se debe a una configuración de protección de sandbox insuficiente en el analizador de shell ejson utilizado para manejar las conexiones de Compass. Además podría permitir a un actor malicioso ejecutar código arbitrario en el contexto de la aplicación.
Recomendación:
Actualizar a la última versión disponible del producto afectado desde la página oficial del fabricante.
Referencia:
- https://jira.mongodb.org/browse/COMPASS-7496
- https://nvd.nist.gov/vuln/detail/CVE-2024-6376