CVE-2025-23061

Nome do Software Vulnerável e Versões Afetadas Versões do Mongoose anteriores à 8.9.5 Versões do Mongoose anteriores à 7.8.4 Versões do Mongoose anteriores à 6.13.6

Descrição O Mongoose está suscetível a um problema de injeção de pesquisa devido ao tratamento inadequado de filtros $where aninhados quando usados com populate(). A cláusula $where permite a execução de código JavaScript arbitrário dentro de consultas MongoDB, potencialmente levando a ataques de injeção de código e acesso não autorizado ou manipulação de dados do banco de dados. Este problema decorre de uma correção incompleta para a CVE-2024-53900. Estima-se que aproximadamente mais de 2.700 serviços sejam afetados anualmente. A vulnerabilidade origina-se da capacidade da cláusula $where de executar código JavaScript arbitrário em consultas MongoDB.

Recomendações Atualize o Mongoose para a versão 8.9.5 ou posterior. Atualize o Mongoose para a versão 7.8.4 ou posterior. Atualize o Mongoose para a versão 6.13.6 ou posterior.