【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061)
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Mongoose存在搜索注入漏洞(CVE-2025-23061),影响多个版本。攻击者可利用该漏洞进行代码注入或未授权数据库访问,建议受影响用户尽快升级至安全版本。
🎯
关键要点
- 绿盟科技CERT监测到Mongoose存在搜索注入漏洞(CVE-2025-23061),影响多个版本。
- 该漏洞为CVE-2024-53900的修复不完全,攻击者可利用该漏洞进行代码注入或未授权数据库访问。
- CVSS评分为9.0,建议受影响用户尽快升级至安全版本。
- 受影响版本包括MongoDB Mongoose < 8.9.5、< 7.8.4和< 6.13.6。
- 不受影响版本为MongoDB Mongoose >= 8.9.5、>= 7.8.4和>= 6.13.6。
- 用户可通过命令npm list mongoose检测当前使用的Mongoose版本是否存在安全风险。
- 官方已发布新版本修复该漏洞,受影响用户应尽快升级,下载链接为https://github.com/Automattic/mongoose/releases。
- 用户可使用命令npm install mongoose@latest升级至对应安全版本。
- 绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
❓
延伸问答
CVE-2025-23061漏洞的影响是什么?
该漏洞允许未经身份验证的攻击者进行代码注入或未授权的数据库访问。
哪些版本的MongoDB Mongoose受到CVE-2025-23061漏洞影响?
受影响版本包括MongoDB Mongoose < 8.9.5、< 7.8.4和< 6.13.6。
如何检测当前使用的Mongoose版本是否存在安全风险?
用户可通过命令npm list mongoose检测当前使用的Mongoose版本。
如何升级到安全版本的MongoDB Mongoose?
用户可使用命令npm install mongoose@latest进行升级。
CVE-2025-23061漏洞的CVSS评分是多少?
该漏洞的CVSS评分为9.0。
绿盟科技对安全公告的责任是什么?
绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
➡️
