CVE-2024-53900

Versões do Mongoose anteriores à 8.8.3

O problema está relacionado ao uso indevido do operador $where no Mongoose, o que pode levar a uma injeção de consulta e, potencialmente, permitir que um invasor remoto execute código arbitrário e obtenha acesso de leitura e gravação aos dados. A vulnerabilidade decorre da capacidade da cláusula $where de executar código JavaScript arbitrário em consultas do MongoDB.

Para versões anteriores à 8.8.3, atualize para a versão 8.8.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do operador $where em consultas de correspondência para minimizar o risco de exploração.