一、 漏洞 CVE-2025-23061 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在8.9.5之前的Mongoose版本中,可能不正确地使用嵌套的$where过滤器与populate()匹配,导致搜索注入。注意:此问题是因为CVE-2024-53900的修复不完整而存在的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mongoose before 8.9.5 can improperly use a nested $where filter with a populate() match, leading to search injection. NOTE: this issue exists because of an incomplete fix for CVE-2024-53900.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Mongoose 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mongoose是Automattic开源的一个 MongoDB 对象建模,旨在在异步环境中工作。 Mongoose 8.9.5之前版本存在代码注入漏洞,该漏洞源于错误地使用嵌套的过滤器和populate()匹配,从而导致搜索注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-23061 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-23061 的情报信息