RCE につながる MongoDB の真新しいプロトタイプ汚染ガジェット from infosecwriteups.com

Brand-new prototype pollution gadget in MongoDB leading to RCE - infosecwriteups.com

mongodb NPM パッケージバージョン 6.6.2 で、リモートコード実行 (RCE) を引き起こすプロトタイプの汚染ガジェットが発見されました。
この脆弱性により、JavaScript 固有の関数がプロトタイプオブジェクトに任意のプロパティを挿入することが可能になります。
私が追加したコードは、extraOptions オブジェクトで指定されたプロパティが spawnArgs と ‘spawnPath’ に割り当てられる前に存在することを確認します。
これは、悪用される可能性のある Java スクリプトに対する RCe 攻撃を悪用します。
アプリケーションが持っている場合は注意してください。