
MongoDBのオブジェクトモデリングツール「Mongoose」で危険度の高い脆弱性(CVE-2025-23061)が発生しています。対象者はアップデートする事をお勧めします。
脆弱性 CVE-2025-23061 の対象バージョン
バージョン8.9.5未満
対応方法
バージョン8.9.5以上へアップデート
脆弱性 CVE-2025-23061 の概要
CVSS スコア 9.0 が割り当てられており、 Mongoose では、populate() 一致でネストされた $where フィルターを不適切に使用し、SQLインジェクションが発生させる事ができます。
これによりサイバー攻撃者やハッカーが、機密データへの不正アクセスする可能性があります。
※ この問題は、CVE-2024-53900 の修正が不完全であるために発生します。