CVE-2026-42334

Nome do Software Vulnerável e Versões Afetadas Mongoose versões anteriores a 6.13.9 Mongoose versões anteriores a 7.8.9 Mongoose versões anteriores a 8.22.1 Mongoose versões anteriores a 9.1.6

Description Uma falha no mecanismo de sanitização de consultas sanitizeFilter permite que ele seja ignorado por meio do operador $nor. Quando o sanitizeFilter está ativo, o Mongoose normalmente envolve os operadores de consulta em $eq para neutralizá-los. No entanto, o $nor não era sanitizado recursivamente. Como o $nor aceita um array e arrays não acionam a função hasDollarKeys(), operadores maliciosos como $ne, $gt ou $regex podem ser injetados dentro de uma cláusula $nor. Isso pode levar ao bypass de autenticação, acesso não autorizado a dados ou exfiltração de dados em aplicações que passam entradas controladas pelo usuário sem sanitização diretamente para métodos de consulta e dependem do sanitizeFilter para proteção.

Recommendations Atualize para a versão 6.13.9 ou posterior. Atualize para a versão 7.8.9 ou posterior. Atualize para a versão 8.22.1 ou posterior. Atualize para a versão 9.1.6 ou posterior. Como medida paliativa temporária, exclua as chaves $nor, utilize uma biblioteca de validação de esquema adicional ou implemente um middleware para remover o $nor dos filtros de consulta.