Versões do express-cart anteriores à 1.1.8

O problema é causado pela falta de sanitização das entradas do usuário nos manipuladores de login, permitindo a injeção NoSQL. Especificamente, os parâmetros do corpo JSON são enviados diretamente para a consulta do MongoDB, permitindo a inserção de operadores. Esses operadores podem ser usados para extrair valores de campos, de forma semelhante à injeção SQL cega, com o operador $regex sendo usado para adivinhar cada caractere de um token.

Atualize para a versão 1.1.8 ou posterior.