Уязвимость функции populate() библиотеки Mongoose связана с неверным управлением генерацией кода при использовании оператора $where. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и получить доступ на чтение и изменение данных
Использование рекомендаций:
https://github.com/Automattic/mongoose/releases/tag/8.9.5
https://github.com/Automattic/mongoose/releases/tag/7.8.4
https://github.com/Automattic/mongoose/releases/tag/6.13.6
https://github.com/Automattic/mongoose/commit/64a9f9706f2428c49e0cfb8e223065acc645f7bc
| Балл | 7.6 — критическая опасность |