MongoDBのオブジェクトモデリングツール Mongooseで危険度の高い脆弱性(CVE-2025-23061)

セキュリティニュース

投稿日時: 更新日時:

MongoDBのオブジェクトモデリングツール Mongooseで危険度の高い脆弱性(CVE-2025-23061)

MongoDBのオブジェクトモデリングツール「Mongoose」で危険度の高い脆弱性(CVE-2025-23061)が発生しています。対象者はアップデートする事をお勧めします。

脆弱性 CVE-2025-23061 の対象バージョン

バージョン8.9.5未満

対応方法

バージョン8.9.5以上へアップデート

脆弱性 CVE-2025-23061 の概要

CVSS スコア 9.0 が割り当てられており、 Mongoose では、populate() 一致でネストされた $where フィルターを不適切に使用し、SQLインジェクションが発生させる事ができます。

これによりサイバー攻撃者やハッカーが、機密データへの不正アクセスする可能性があります。

※ この問題は、CVE-2024-53900 の修正が不完全であるために発生します。