นักวิจัยได้ค้นพบช่องโหว่ด้านความปลอดภัยสองรายการใน Mongoose ไลบรารียอดนิยมที่ใช้ในการเชื่อมต่อแอปพลิเคชันกับฐานข้อมูล MongoDB ซึ่งช่องโหว่เหล่านี้อาจเปิดโอกาสให้แฮ็กเกอร์ลอบเข้าถึงและรันโค้ดอันตรายในฐานข้อมูลได้
Mongoose เป็นไลบรารี Object Data Modeling (ODM) ที่ช่วยเชื่อมต่อ MongoDB กับสภาพแวดล้อมรันไทม์ของ Node.js ทำให้การจัดการและโต้ตอบกับฐานข้อมูลง่ายขึ้น ด้วยความนิยมในการใช้งานในสภาพแวดล้อมการผลิต ทำให้ช่องโหว่นี้ส่งผลกระทบต่อธุรกิจจำนวนมากที่ใช้ MongoDB
ช่องโหว่ดังกล่าวถูกค้นพบโดย Dat Phung สมาชิกของโครงการทุนวิจัยของ OPSWAT ซึ่งพบช่องโหว่สำคัญที่ระบุเป็น CVE-2024-53900 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) โดยอาศัยการใช้ตัวดำเนินการ $where ของ Mongoose ที่สามารถเรียกใช้โค้ด JavaScript บนเซิร์ฟเวอร์ MongoDB ได้โดยตรง
Phung เตือนว่าช่องโหว่นี้อาจถูกใช้โดยแฮ็กเกอร์เพื่อรันคำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์แอปพลิเคชัน Node.js ผ่านการ query ฐานข้อมูล ซึ่งอาจนำไปสู่การขโมยข้อมูล การแก้ไขข้อมูล หรือแม้กระทั่งการเข้าควบคุมบางส่วนของแอปพลิเคชัน
OPSWAT ได้ออกมาเตือนถึงความร้ายแรงของช่องโหว่นี้ โดยชี้ให้เห็นว่าหลายธุรกิจใช้ Mongoose และ MongoDB ในการพัฒนาแอปพลิเคชัน หากแฮ็กเกอร์สามารถเจาะระบบได้ อาจส่งผลกระทบต่อการทำงานของแอปพลิเคชัน และทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงจากการถูกขโมย ถูกแก้ไข หรือถูกทำลาย
ธุรกิจที่ใช้ Mongoose ควรเร่งตรวจสอบและอัปเดตระบบรักษาความปลอดภัยของตนเอง เพื่อลดความเสี่ยงจากการถูกโจมตีโดยอาศัยช่องโหว่นี้
รายละเอียด : ITPro
