【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061)
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到MongoDB Mongoose存在搜索注入漏洞(CVE-2025-23061),攻击者可利用该漏洞实现代码注入。受影响版本包括8.0.0-rc0至8.9.5、7.0.0-rc0至7.8.4及6.13.6以下版本。建议用户尽快升级至安全版本。
🎯
关键要点
-
绿盟科技CERT监测到MongoDB Mongoose存在搜索注入漏洞(CVE-2025-23061),攻击者可利用该漏洞实现代码注入。
-
受影响版本包括8.0.0-rc0至8.9.5、7.0.0-rc0至7.8.4及6.13.6以下版本。
-
建议用户尽快升级至安全版本以防护该漏洞。
-
漏洞的CVSS评分为9.0,表明其危害性较高。
-
用户可通过命令npm list mongoose检测当前使用的Mongoose版本是否存在安全风险。
-
官方已发布新版本修复该漏洞,用户可通过命令npm install mongoose@latest进行升级。
❓
延伸问答
MongoDB Mongoose的搜索注入漏洞是什么?
MongoDB Mongoose的搜索注入漏洞(CVE-2025-23061)允许攻击者通过操纵查询实现代码注入或未授权的数据库访问。
哪些版本的MongoDB Mongoose受到此漏洞影响?
受影响的版本包括8.0.0-rc0至8.9.5、7.0.0-rc0至7.8.4及6.13.6以下版本。
如何检测当前使用的Mongoose版本?
用户可以通过命令npm list mongoose来检测当前使用的Mongoose版本是否存在安全风险。
如何修复MongoDB Mongoose的搜索注入漏洞?
用户应尽快升级至安全版本,可以使用命令npm install mongoose@latest进行升级。
CVE-2025-23061的CVSS评分是多少?
该漏洞的CVSS评分为9.0,表明其危害性较高。
MongoDB Mongoose是什么?
MongoDB Mongoose是一个用于在Node.js中操作MongoDB的对象建模库,提供结构化的数据交互方式。
➡️
