Kurze Information für Entwickler, die die Mongoose-JavaScript-Bibliothek zum Zugriff auf MongoDB verwenden. Sicherheitsforscher haben gleich zwei kritische Schwachstellen entdeckt, die die Zugriffe auf MongoDB-Datenbanken gefährden.
Anzeige
Mongoose ist eine objektorientierte JavaScript-Programmierbibliothek – Object Data Modeling (ODM)-Bibliothek – , die eine Verbindung zwischen MongoDB und der JavaScript-Laufzeitumgebung Node.js herstellt. Es bietet eine unkomplizierte, schemabasierte Lösung zur Modellierung von Anwendungsdaten.
Sicherheitsforscher von OPSWAT haben, laut diesem Bericht von The Register, gleich zwei kritische Sicherheitslücken aufgedeckt, die die Integrität der in MongoDB gespeicherten Daten bedrohen und sie für Diebstahl, Manipulation oder Zerstörung anfällig machen.
Die erste Schwachstelle ist CVE-2024-53900 (CVSS Score 9.1), ein klassischer SQL-Injection-Bug, der sich zu den Schwachstellen hinzugesellt, die den US-Sicherheitsbehörden bereits Kopfschmerzen bereiten. Die Schwachstelle wurde im November 2024 in Version 8.8.3 gepatcht.
Die zweite Schwachstelle CVE-2025-23061 (CVSS Score 9.0) lässt den Patch in der Version 8.8.3 umgehen und ermöglicht eine Remote Execution (RCE). Es wird empfohlen, die Bibliothek zu aktualisieren, um den Angriffsvektor abzuschwächen. Details sind bei The Register nachzulesen.
Anzeige
Anzeige
