ГлавнаяБаза уязвимостей БДУ → BDU:2025-01987
9.4критическая

BDU:2025-01987

Уязвимость библиотеки Mongoose, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код и получить доступ на чтение и изменение данных
Опубликовано: 2025-02-24
Описание

Уязвимость библиотеки Mongoose связана с непринятием мер по защите структуры запроса SQL при использовании оператора $where. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и получить доступ на чтение и изменение данных

Затрагиваемое ПО и версии
Mongoose (до 6.13.5)Mongoose (от 7.0.0-rc0 до 7.8.3)Mongoose (от 8.0.0-rc0 до 8.8.3)
Способ устранения

Использование рекомендаций:
https://github.com/Automattic/mongoose/commit/c9e86bff7eef477da75a29af62a06d41a835a156
https://github.com/Automattic/mongoose/releases
https://github.com/Automattic/mongoose/releases/tag/8.8.3
https://github.com/Automattic/mongoose/releases/tag/7.8.3

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/Automattic/mongoose/blob/master/CHANGELOG.mdhttps://github.com/Automattic/mongoose/commit/c9e86bff7eef477da75a29af62a06d41a835a156https://github.com/Automattic/mongoose/releaseshttps://github.com/advisories/GHSA-m7xq-9374-9rvxhttps://www.npmjs.com/package/mongoose?activeTab=versions
Проверьте безопасность своего сайта и почты → Полная проверка домена