CVE-2025-2306 (CVSS 9.0): Mongoose Flaw Leaves Millions of Downloads Exposed to Search Injection
2025/01/19 SecurityOnline — 人気の MongoDB オブジェクト・モデリング・ツール Mongoose に、新たな脆弱性が発見された。それにより、検索インジェクション攻撃の影響が、何百万ものユーザーに及ぶ可能性が生じている。この脆弱性 CVE-2025-23061 (CVSS:9.0) は、Mongoose のバージョン 8.9.5 未満の影響を及ぼす。この脆弱性は、populate() マッチングと、ネストされた $where フィルタの不適切な処理に起因しており、攻撃者に対して、検索結果の操作と、機密データへ不正アクセスが許されるという。
Mongoose は、Node.js/Deno 用の人気ライブラリであり、スキーマベースのモデリング/ビルトインの検証/クエリ構築などの機能により、MongoDB データベースとのインタラクションを簡素化するよう設計されている。毎週ごとに 270万回もダウンロードされており、無数のアプリケーションが依存する、重要なライブラリである。
この問題は、$where 演算子の不適切な使用に対処した、以前の脆弱性 CVE-2024-53900 にへの不完全な修正の結果として発生している。$where 演算子は、MongoDB クエリで任意の JavaScript コードを実行できるため、悪意のコードを挿入してデータベースの整合性を損なおうとする攻撃者にとって、格好の標的となってしまう。
Mongoose は、この脆弱性をバージョン 8.9.5 で修正している。ユーザーに対して強く推奨されるのは、検索インジェクション攻撃のリスクを軽減するために、最新バージョンにアップグレードすることである。npm パッケージは、毎週 100 万件以上ダウンロードされているため、この脆弱性の潜在的な影響は甚大である。
Mongoose という、MongoDB オブジェクト・モデリング・ツールの脆弱性が FIXしました。MongoDB 関連の直近の記事は、2024/08/08 の「MongoDB の深刻な脆弱性 CVE-2024-7553 が FIX:ただちにパッチを!」です。よろしければ、MongoDB で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.