MongoDB Shell < 2.3.9 の制御文字インジェクション (MONGOSH-2024、MONGOSH-2025、MONGOSH-2026)

high Nessus プラグイン ID 234125

Language:

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされている MongoDB Shell のバージョンは、2.3.9 より前です。したがって、MONGOSH-2024、MONGOSH-2025、MONGOSH-2026 アドバイザリに記載されている脆弱性の影響を受けます。

- MongoDB Shell は、制御文字インジェクションの影響を受ける可能性があります。攻撃者が mongosh のオートコンプリート機能を制御できる場合、この機能を利用して難読化された悪質なテキストを入力し実行させる可能性があります。これには、ユーザーが「Tab」を使用して、攻撃者が用意したオートコンプリートのプレフィックスであるテキストを補完するという形でのユーザー操作が必要です。この問題は、2.3.9 より前のバージョンの mongosh に影響します。この脆弱性は、攻撃者によって部分的または完全にコントロールされているクラスターに mongosh が接続されている場合にのみ悪用できます。(CVE-2025-1691)

- MongoDB Shell は制御文字インジェクションの影響を受ける可能性があり、攻撃者がユーザーのクリップボードを制御して、任意のコードを評価するテキストを mongosh に貼り付けることができる可能性があります。貼り付けられたテキスト内の制御文字は、悪質なコードを難読化するために使用される可能性があります。この問題は、2.3.9 より前のバージョンの mongosh に影響します (CVE-2025-1692)

- MongoDB Shell は、データベースクラスターの内容を制御できる攻撃者がシェルの出力に制御文字を挿入できる、制御文字インジェクションの影響を受ける可能性があります。その結果、mongosh または基盤となるオペレーティングシステムから発信されたように見える偽のメッセージが表示され、ユーザーを誤って安全でないアクションを実行してしまう可能性があります。この脆弱性は、攻撃者によって部分的または完全にコントロールされているクラスターに mongosh が接続されている場合にのみ悪用できます。この問題は、2.3.9 より前のバージョンの mongosh に影響します (CVE-2025-1693)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。