ГлавнаяБаза уязвимостей БДУ → BDU:2025-01988
7.6критическая

BDU:2025-01988

Уязвимость функции populate() библиотеки Mongoose, позволяющая нарушителю выполнить произвольный код и получить доступ на чтение и изменение данных
Опубликовано: 2025-02-24
Описание

Уязвимость функции populate() библиотеки Mongoose связана с неверным управлением генерацией кода при использовании оператора $where. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и получить доступ на чтение и изменение данных

Затрагиваемое ПО и версии
Mongoose (до 6.13.6)Mongoose (от 7.0.0-rc0 до 7.8.4)Mongoose (от 8.0.0-rc0 до 8.9.5)
Способ устранения

Использование рекомендаций:
https://github.com/Automattic/mongoose/releases/tag/8.9.5
https://github.com/Automattic/mongoose/releases/tag/7.8.4
https://github.com/Automattic/mongoose/releases/tag/6.13.6
https://github.com/Automattic/mongoose/commit/64a9f9706f2428c49e0cfb8e223065acc645f7bc

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://github.com/Automattic/mongoose/blob/master/CHANGELOG.mdhttps://github.com/Automattic/mongoose/commit/64a9f9706f2428c49e0cfb8e223065acc645f7bchttps://github.com/Automattic/mongoose/releases/tag/8.9.5https://www.npmjs.com/package/mongoose?activeTab=versionshttps://github.com/advisories/GHSA-vg7j-7cwx-8wgw
Проверьте безопасность своего сайта и почты → Полная проверка домена