【漏洞通告】MongoDB Mongoose搜索注入漏洞（CVE-2025-23061）

主要观点总结

本文是关于Mongoose库中的搜索注入漏洞通告。攻击者可以利用此漏洞实现代码注入。绿盟科技CERT监测到GitHub发布的安全公告，指出此漏洞为CVE-2024-53900的修复不完全。

关键观点总结

关键观点1: 漏洞概述

Mongoose中的搜索注入漏洞（CVE-2025-23061）是由于错误地将$where过滤器与populate()方法中的match条件一起处理，导致未经身份验证的攻击者可进行搜索注入，实现代码注入或未授权的数据库访问。CVSS评分9.0，影响范围广泛。

关键观点2: 受影响版本与不受影响版本

受影响版本为MongoDB Mongoose 8.0.0-rc0至7.0.0-rc0。不受影响版本为MongoDB Mongoose >= 8.9.5、>= 7.8.4、>= 6.13.6。

关键观点3: 漏洞检测与防护

用户可通过命令判断当前使用的Mongoose版本是否存在安全风险。官方已发布新版本修复了该漏洞，受影响用户应尽快升级版本。升级命令为npm install mongoose@latest。

关键观点4: 声明

本安全公告仅用于描述可能存在的安全问题，绿盟科技不为此提供任何保证或承诺。传播、利用此安全公告所提供的信息而造成的后果及损失由使用者本人负责。绿盟科技拥有对此安全公告的修改和解释权，转载或传播此安全公告必须保证完整性。