Vkarpov15

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mongoose anteriores à 8.9.5 Versões do Mongoose anteriores à 7.8.4 Versões do Mongoose anteriores à 6.13.6 **Descrição** O Mongoose está suscetível a um problema de injeção de pesquisa devido ao tratamento inadequado de filtros `$where` aninhados quando usados com `populate()`. A cláusula `$where` permite a execução de código JavaScript arbitrário dentro de consultas MongoDB, potencialmente levando a ataques de injeção de código e acesso não autorizado ou manipulação de dados do banco de dados. Este problema decorre de uma correção incompleta para a CVE-2024-53900. Estima-se que aproximadamente mais de 2.700 serviços sejam afetados anualmente. A vulnerabilidade origina-se da capacidade da cláusula `$where` de executar código JavaScript arbitrário em consultas MongoDB. **Recomendações** Atualize o Mongoose para a versão 8.9.5 ou posterior. Atualize o Mongoose para a versão 7.8.4 ou posterior. Atualize o Mongoose para a versão 6.13.6 ou posterior.

**Name of the Vulnerable Software and Affected Versions** mongoose versions prior to 7.3.4 mongoose versions prior to 6.11.3 mongoose versions prior to 5.13.20 **Description** The issue is related to a prototype pollution vulnerability in the Mongoose library. This vulnerability can be exploited by a remote attacker to perform a prototype pollution attack. **Recommendations** For versions prior to 7.3.4, update to version 7.3.4 or later. For versions prior to 6.11.3, update to version 6.11.3 or later. For versions prior to 5.13.20, update to version 5.13.20 or later.

**Nome do software vulnerável e versões afetadas** Versões do mongoose anteriores à 6.4.6 **Descrição** O problema diz respeito a uma vulnerabilidade de “Prototype Pollution” no pacote mongoose, uma ferramenta de modelagem de objetos do MongoDB. Essa vulnerabilidade afeta a função `Schema.path()`, permitindo a modificação do protótipo do objeto, o que poderia potencialmente levar a um ataque de Negação de Serviço (DoS). **Recomendações** Para versões anteriores à 6.4.6, atualize para a versão 6.4.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `Schema.path()` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do mquery anteriores à 3.2.3 **Descrição** A vulnerabilidade permite um ataque de poluição, pois uma propriedade especial, como ` proto `, pode ser copiada durante uma operação de mesclagem ou clonagem. Isso ocorre no arquivo lib/utils.js. **Recomendações** Para versões anteriores à 3.2.3, atualize para a versão 3.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir as operações de mesclagem ou clonagem no arquivo lib/utils.js para evitar o ataque de poluição.