【漏洞通告】MongoDB Mongoose搜索注入漏洞（CVE-2025-23061）

近日，绿盟科技CERT监测到GitHub发布安全公告，Mongoose中修复了一个搜索注入漏洞（CVE-2025-23061），此漏洞为CVE-2024-53900的修复不完全；由于Mongoose错误地将$where过滤器与populate()方法中的match条件一起处理，当同时使用了两者查询时未经身份验证的攻击者可操纵进行搜索注入，从而实现代码注入或未授权的数据库访问。CVSS评分9.0，请相关用户尽快采取措施进行防护。

Mongoose是一个用于在Node.js中操作MongoDB的对象建模库。它提供了一种更结构化的方式来与MongoDB交互，通过定义Schema（模式）来规范数据结构，并提供了如数据验证、查询构建、中间件等多种功能。

参考链接：

https://github.com/advisories/GHSA-vg7j-7cwx-8wgw

3.1 版本检测

相关用户可通过下列命令判断当前使用的Mongoose版本是否存在安全风险：

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：

https://github.com/Automattic/mongoose/releases

相关用户可使用下列命令升级至对应安全版本：