CVE-2025-2306 (CVSS 9.0): Mongoose Flaw Leaves Millions of Downloads Exposed to Search Injection
2025/01/19 SecurityOnline — 人気の MongoDB オブジェクト・モデリング・ツール Mongoose に、新たな脆弱性が発見された。それにより、検索インジェクション攻撃の影響が、何百万ものユーザーに及ぶ可能性が生じている。この脆弱性 CVE-2025-23061 (CVSS:9.0) は、Mongoose のバージョン 8.9.5 未満の影響を及ぼす。この脆弱性は、populate() マッチングと、ネストされた $where フィルタの不適切な処理に起因しており、攻撃者に対して、検索結果の操作と、機密データへ不正アクセスが許されるという。
Continue reading “Mongoose の脆弱性 CVE-2025-23061 (CVSS:9.0) が FIX: 直ちにアップデートを!”
IoT OT Security News 