Mongoose, une bibliothèque de développement populaire pour MongoDB, contient des vulnérabilités. Ces bogues permettent l’exécution de code à distance. Il est conseillé aux développeurs de mettre à jour Mongoose immédiatement.
Des chercheurs d’Opswat ont découvert deux vulnérabilités dans Mongoose. Mongoose est largement utilisé par les développeurs pour contrôler les bases de données MongoDB dans les applications Node.js. Les vulnérabilités découvertes pourraient permettre à des pirates d’exécuter du code non autorisé et d’accéder à des données sensibles.
Deux vulnérabilités
La première vulnérabilité, CVE-2024-53900, est liée à la façon dont Mongoose utilise le paramètre $où-l’opérateur de requête. Une faille dans cette fonctionnalité permet aux attaquants de contourner les restrictions JavaScript de MongoDB et d’exécuter potentiellement du code sur le serveur d’application. Ils peuvent ainsi voler, manipuler ou détruire des données.
La seconde vulnérabilité, CVE-2025-23061, est plus ancienne. Ce bogue a été partiellement corrigé précédemment, mais il semble toujours exploitable via une méthode d’attaque alternative. Cela pourrait à nouveau conduire à la compromission du serveur d’application et des données qui y sont stockées.
Les développeurs de Mongoose ont publié des mises à jour qui corrigent les deux vulnérabilités. Les utilisateurs de la bibliothèque doivent donc installer ces mises à jour dès que possible. Mongoose 8.8.3 est susceptible d’être affecté par ces bogues. De nouvelles versions sont heureusement déjà disponibles avec les versions 8.9.5 et 8.10.0.