7月5~8日:サイバーセキュリティ関連ニュース
HTTP File Server (HFS) に重大なRCEの脆弱性:CVE-2024-39943 (CVSS 9.9)
Securityonline[.]info – JULY 5, 2024
人気ファイル共有ソフトHTTP File Server(HFS)に、重大な脆弱性CVE-2024-39943が存在。CVSSスコアは9.9と非常に高い同脆弱性は、Linux、UNIX、およびmacOSで利用される0.52.10より前のバージョンのHFSに影響を与えるもので、悪用が成功した場合、OSコマンドの実行が可能になる恐れがあるという。
CVE-2024-39943は、HFSによるdfコマンドの実行の処理方法に起因する問題。Node.jsの子プロセスにおいて、spawnSyncの代わりにexecSyncが使用されるために生じる。これにより、アップロード権限を持つ認証済みのリモートのユーザーが、ホストシステム上で任意のコマンドを実行できるようになる恐れがあるのだという。
脆弱性によりもたらされるリスクを軽減するため、HFSのユーザーには修正版である0.52.10以降のバージョンへのソフトウェアアップデートが強く推奨されている。
MongoDB Compassにコードインジェクションの脆弱性:CVE-2024-6376 (CVSS 9.8)
Securityonline[.]info – JULY 5, 2024
MongoDB用GUIのCompassに、重大なコードインジェクションの脆弱性CVE-2024-6376が存在。この脆弱性により、悪意あるアクターによる任意コードの実行が可能となる恐れがあるという。
CVE-2024-6376は、Compassの接続処理時のejsonシェルパーサー利用に関するサンドボックス保護設定が不十分なことに起因する問題で、1.42.2より前のバージョンのMongoDB Compassが影響を受ける。MongoDB自身によるCVSS評価は7.0であるのに対し、NVDはCVSSスコアを9.8とし、深刻度を「Critical(緊急)」と評価している。悪用が成功した場合の影響は深刻となる恐れがあり、データの損失や破壊、不正アクセスなどに発展し得る可能性があるとされる。
同脆弱性はバージョン1.42.2で修正されており、ユーザーには同バージョンへの速やかなアップデートが強く推奨されている。