主要观点总结
本文是关于Mongoose库中的搜索注入漏洞通告。攻击者可以利用此漏洞实现代码注入。绿盟科技CERT监测到GitHub发布的安全公告,指出此漏洞为CVE-2024-53900的修复不完全。
关键观点总结
关键观点1: 漏洞概述
Mongoose中的搜索注入漏洞(CVE-2025-23061)是由于错误地将$where过滤器与populate()方法中的match条件一起处理,导致未经身份验证的攻击者可进行搜索注入,实现代码注入或未授权的数据库访问。CVSS评分9.0,影响范围广泛。
关键观点2: 受影响版本与不受影响版本
受影响版本为MongoDB Mongoose 8.0.0-rc0至7.0.0-rc0。不受影响版本为MongoDB Mongoose >= 8.9.5、>= 7.8.4、>= 6.13.6。
关键观点3: 漏洞检测与防护
用户可通过命令判断当前使用的Mongoose版本是否存在安全风险。官方已发布新版本修复了该漏洞,受影响用户应尽快升级版本。升级命令为npm install mongoose@latest。
关键观点4: 声明
本安全公告仅用于描述可能存在的安全问题,绿盟科技不为此提供任何保证或承诺。传播、利用此安全公告所提供的信息而造成的后果及损失由使用者本人负责。绿盟科技拥有对此安全公告的修改和解释权,转载或传播此安全公告必须保证完整性。
文章预览
通告编号:NS-2025-0005 2025-01-21 TA G: MongoDB Mongoose、搜索注入、CVE-2025-23061 漏洞危害: 攻击者利用此漏洞,可实现代码注入。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到GitHub发布安全公告,Mongoose中修复了一个搜索注入漏洞(CVE-2025-23061),此漏洞为CVE-2024-53900的修复不完全;由于Mongoose错误地将$where过滤器与populate()方法中的match条件一起处理,当同时使用了两者查询时未经身份验证的攻击者可操纵进行搜索注入,从而实现代码注入或未授权的数据库访问。CVSS评分9.0,请相关用户尽快采取措施进行防护。 Mongoose是一个用于在Node.js中操作MongoDB的对象建模库。它提供了一种更结构化的方式来与MongoDB交互,通过定义Schema(模式)来规范数据结构,并提供了如数据验证、查询构建、中间件等多种功能。 参考链接: https://github.com/advisories/GHSA-vg7j-7cwx-8wgw S
………………………………
