CVE-2026-42334 in Mongoose
요약
\~에 의해 VulDB • 2026. 05. 14.
Mongoose는 비동기 환경에서 작동하도록 설계된 MongoDB 객체 모델링 도구입니다. 6.13.9, 7.8.9, 8.22.1 및 9.1.6 버전 이전에서는 $nor 연산자를 통해 Mongoose의 sanitizeFilter 쿼리 정제 메커니즘을 우회할 수 있는 취약점이 존재합니다. sanitizeFilter가 활성화되면 Mongoose는 쿼리 연산자를 $eq로 감싸서 무력화합니다. 그러나 수정 전에는 $nor가 재귀적으로 정제되는 논리 연산자 집합에 포함되지 않았습니다. $nor는 $and 및 $or와 마찬가지로 배열을 허용하며, 배열은 hasDollarKeys()를 트리거하지 않으므로 $ne, $gt 또는 $regex와 같은 악성 연산자가 정제되지 않은 상태로 $nor 절 내에 삽입될 수 있습니다. 이 취약점은 6.13.9, 7.8.9, 8.22.1 및 9.1.6에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.