JVNDB-2026-015906

mongoosejsのmongooseにおけるインジェクションに関する脆弱性

Mongooseは非同期環境で動作することを目的としたMongoDBのオブジェクトモデリングツールです。6.13.9、7.8.9、8.22.1、および9.1.6より前のバージョンには、$nor演算子を介してMongooseのsanitizeFilterクエリサニタイズ機構を回避できる脆弱性が存在していました。sanitizeFilterが有効な場合、Mongooseはクエリ演算子を$eqでラップして無効化します。しかし、修正前は$norが再帰的にサニタイズされる論理演算子のセットに含まれていませんでした。$norは$andや$orのように配列を受け入れ、配列はhasDollarKeys()をトリガーしないため、悪意のある演算子（$ne、$gt、$regexなど）を$nor句内に注入してもサニタイズされませんでした。この脆弱性は6.13.9、7.8.9、8.22.1、および9.1.6で修正されています。

mongoosejs

• mongoose 6.13.9 未満
• mongoose 7.0.0 以上 7.8.9 未満
• mongoose 8.0.0 以上 8.22.1 未満
• mongoose 9.0.0 以上 9.1.6 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Improper Sanitization of $nor in sanitizeFilter May Allow NoSQL Injection  Advisory  Automattic/mongoose  GitHub

1. インジェクション(CWE-74) [その他]

1. CVE-2026-42334

1. National Vulnerability Database (NVD) : CVE-2026-42334

• [2026年05月18日]
    掲載