【安全资讯】MongoDB数据泄露事件：两项关键漏洞导致远程代码执行

概要：

近期，安全研究人员发现MongoDB依赖的第三方库Mongoose存在两项关键漏洞，可能导致数据泄露和远程代码执行（RCE）。Mongoose作为一个对象数据建模（ODM）库，广泛应用于Node.js应用程序中，其安全性问题引发了对数据完整性和安全性的担忧。

主要内容：

Mongoose库的第一个漏洞CVE-2024-53900（评分9.1）是一个经典的SQL注入漏洞，允许攻击者通过特制的查询绕过MongoDB的服务器端JavaScript限制，从而实现远程代码执行。该漏洞利用了Mongoose的populate()方法和$where操作符在匹配查询中的使用，攻击者可以访问、操控或提取本不应有权限的数据。该漏洞由越南研究员Dat Phung于11月初报告，Mongoose在8.8.3版本中进行了修复，禁止在匹配查询中使用$where。

然而，Phung在12月17日发现修复版本中仍存在绕过漏洞，导致RCE和数据泄露的风险。Mongoose在8.9.5版本中再次修复了此问题，并获得了新的标识符CVE-2025-23061（评分9.0）。研究表明，初次修复仅阻止了单一嵌套层级的$where使用，而Phung发现如果将$where嵌入到$or操作符中，修复便会失效，导致MongoDB数据的泄露。

OPSWAT的报告指出，Mongoose仅检查匹配数组中每个对象的顶层属性，绕过负载未被检测到，最终导致恶意RCE的发生。尽管最新版本的下载量已超过452,000次，但8.8.3版本在过去七天内仍被下载超过38,500次，显示出攻击面依然庞大。OPSWAT建议所有用户及时升级到最新版本，以降低潜在威胁。