GHSA-m7xq-9374-9rvx

Опубликовано: 02 дек. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 9.8

Описание

Mongoose search injection vulnerability

Mongoose versions prior to 8.8.3, 7.8.3, 6.13.5, and 5.13.23 are vulnerable to improper use of the $where operator. This vulnerability arises from the ability of the $where clause to execute arbitrary JavaScript code in MongoDB queries, potentially leading to code injection attacks and unauthorized access or manipulation of database data.

Ссылки

Пакеты

Наименование

mongoose

npm

Затронутые версииВерсия исправления

>= 8.0.0-rc0, < 8.8.3

8.8.3

Наименование

mongoose

npm

Затронутые версииВерсия исправления

>= 7.0.0-rc0, < 7.8.3

7.8.3

Наименование

mongoose

npm

Затронутые версииВерсия исправления

>= 6.0.0-rc0, < 6.13.5

6.13.5

Наименование

mongoose

npm

Затронутые версииВерсия исправления

>= 3.6.0-rc0, < 5.13.23

5.13.23

EPSS

Процентиль: 98%

0.45907

Средний

8.7 High

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-53900

Дефекты

CWE-89

Связанные уязвимости

CVE-2024-53900

CVSS3: 9.1

nvd

около 1 года назад

Mongoose before 8.8.3 can improperly use $where in match, leading to search injection.

BDU:2025-01987

CVSS3: 9.1

fstec

около 1 года назад

Уязвимость библиотеки Mongoose, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код и получить доступ на чтение и изменение данных

EPSS

Процентиль: 98%

0.45907

Средний

8.7 High

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-53900

Дефекты

CWE-89