Mongoose版本过低导致的安全漏洞 #2724

null404i · 2023-11-23T11:06:24Z

版本号

~
Mongoose 5.7.5

什么问题

~Mongoose版本为5.7.5，低于5.13.20的版本存在Mongoose原型污染链导致的远程代码执行漏洞（CVE-2023-3696）

如何复现此问题

~

什么浏览器

~
/

什么系统（Linux, Windows, macOS）

/

jacoryjin · 2024-01-03T01:21:53Z

看如下修改是否可用

package.json（line 72）

"mongoose": "5.13.21"

vendors\server\utils\db.js

let db = mongoose.connect(....

修改为

const db= mongoose.connection;
mongoose.connect(
    connectString,
    options,
    function(err) {
      if (err) {
        yapi.commons.log(err + ', mongodb Authentication failed', 'error');
      }
    }
  );

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Mongoose版本过低导致的安全漏洞 #2724

Mongoose版本过低导致的安全漏洞 #2724

null404i commented Nov 23, 2023

jacoryjin commented Jan 3, 2024

Mongoose版本过低导致的安全漏洞 #2724

Mongoose版本过低导致的安全漏洞 #2724

Comments

null404i commented Nov 23, 2023

版本号

什么问题

如何复现此问题

什么浏览器

什么系统（Linux, Windows, macOS）

jacoryjin commented Jan 3, 2024