OPSWAT披露开源 Mongoose ODM 库的两个关键漏洞

OPSWAT 在博客中披露开源 Mongoose ODM 库的两个关键漏洞（CVE-2024-53900 和 CVE-2025-23061）及概念验证（PoC）利用代码。它们的CVSS 3 评分分别为9.1和9.0。 CVE-2024-53900于2024年11月发现并修复，可通过搜索注入在 Node.js 应用服务器上实现远程代码执行（RCE）；CVE-2025-23061是对其补丁的绕过，上月修复，稍改利用代码即可实现 RCE。 这两个漏洞都与 操 作 符 有 关 ， 攻 击 者 控 制 该 操作符后的输入 ， 可使恶意代码在应用服务器本地执行 ，此漏洞在 8.9.5 版本修复，OPSWAT 建议开发者升级到最新版本。