概要
MongoDB Server の time-series コレクション実装において、内部フィールド名とインデックスのマッピングに不整合が生じる脆弱性。
データベースの書き込み権限を持つ認証済みユーザーが、特定の操作を通じてバケットカタログ内のフィールド名とインデックスのマッピングを意図的に不整合な状態にさせることができる。この状態で mongod プロセスに OOB(Out-of-Bounds)メモリライトを引き起こし、条件次第では任意コード実行につながりうる。
time-series コレクションを使用しているアプリケーション環境(IoT データ収集、メトリクス管理、時系列分析など)が対象となる。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | DB接続経由で攻撃可能 |
| 攻撃の複雑さ(AC) | 低(L) | 特別な条件不要 |
| 必要な権限(PR) | 低(L) | DB書き込み権限が必要 |
| ユーザー操作(UI) | 不要(N) | 被害者の操作不要 |
| スコープ(S) | 変更なし(U) | DBサーバー上での影響 |
| 機密性(C) | 高(H) | サーバー上の情報へのアクセスが可能 |
| 完全性(I) | 高(H) | データの改ざんが可能 |
| 可用性(A) | 高(H) | サービスの停止が可能 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| MongoDB Server 5.0 | 5.0.33 未満 | 5.0.33 |
| MongoDB Server 6.0 | 6.0.28 未満 | 6.0.28 |
| MongoDB Server 7.0 | 7.0.34 未満 | 7.0.34 |
| MongoDB Server 8.0 | 8.0.23 未満 | 8.0.23 |
| MongoDB Server 8.2 | 8.2.9 未満 | 8.2.9 |
| MongoDB Server 8.3 | 8.3.2 未満 | 8.3.2 |
修正バージョンと回避策
修正バージョン: 各ブランチの修正バージョンを参照(上記テーブル)
MongoDB を MongoDB Atlas(クラウドサービス)で利用している場合は自動的にパッチが適用されるが、セルフホスト環境では手動でのアップデートが必要。
# MongoDB 公式リポジトリからのアップデート(例: MongoDB 7.0 系)
sudo apt update && sudo apt install mongodb-org=7.0.34
時系列コレクションを使用していない環境では影響を受けない。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。