Mongoose, een populaire ontwikkelaarsbibliotheek voor MongoDB, bevat kwetsbaarheden. De bugs maken remote code execution mogelijk. Ontwikkelaars wordt aangeraden om Mongoose onmiddellijk bij te werken.
Onderzoekers van Opswat ontdekten twee kwetsbaarheden in Mongoose. Mongoose wordt veel gebruikt door ontwikkelaars om MongoDB-databases aan te sturen binnen Node.js-toepassingen. De ontdekte kwetsbaarheden kunnen hackers de mogelijkheid geven om ongeautoriseerde code uit te voeren en toegang te krijgen tot gevoelige gegevens.
Twee kwetsbaarheden
De eerste kwetsbaarheid, CVE-2024-53900, heeft te maken met de manier waarop Mongoose de $where-queryoperator verwerkt. Door een fout in deze functionaliteit kunnen aanvallers de JavaScript-beperkingen van MongoDB omzeilen en mogelijk code uitvoeren op de applicatieserver. Hierdoor kunnen ze gegevens stelen, manipuleren of vernietigen.
De tweede kwetsbaarheid, CVE-2025-23061, is ouder. Deze bug werd eerdere al gedeeltelijk opgelost, maar blijkt nog steeds te misbruiken is via een alternatieve aanvalsmethode. Dit kan opnieuw leiden tot het compromitteren van de applicatieserver en de gegevens die daarin worden opgeslagen.
De ontwikkelaars van Mongoose hebben updates uitgebracht die beide kwetsbaarheden verhelpen. Gebruikers van de bibliotheek moeten die updates dan ook zo snel mogelijk installeren. Mongoose 8.8.3 is vatbaar voor de bugs. Nieuwe versies zijn gelukkig al beschikbaar met versie 8.9.5 en 8.10.0.