CVE-2026-42334 CVSS 7.5 高危

CVE-2026-42334 Mongoose sanitizeFilter绕过漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42334

漏洞类型

NoSQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mongoose

漏洞概述

Mongoose是一个异步环境下的MongoDB对象建模工具。在特定版本之前，存在一个安全漏洞，允许攻击者利用$nor操作符绕过sanitizeFilter查询清理机制。由于$nor未被包含在递归清理的逻辑操作符集合中，攻击者可在$nor子句内注入$ne、$gt等恶意操作符，导致数据泄露或查询逻辑被篡改。

技术细节

该漏洞源于Mongoose的sanitizeFilter机制实现缺陷。当启用sanitizeFilter时，Mongoose通常会将查询操作符包装在$eq中以中和其效果。然而，$nor操作符接受数组参数，且在漏洞版本中未被列入递归清理的逻辑操作符列表。由于数组结构不会触发hasDollarKeys()检查，攻击者可以在$nor数组内部嵌入未经过滤的$ne、$gt或$regex等操作符。这使得攻击者能够构造恶意的NoSQL查询，绕过安全限制，在服务器端执行非预期的数据库操作，从而获取敏感信息或绕过认证逻辑。

攻击链分析

STEP 1

侦察

识别使用Mongoose库且开启了sanitizeFilter防护的应用程序。

STEP 2

构造载荷

设计包含$nor操作符的恶意JSON数据，并在其数组内嵌入$ne或$gt等操作符。

STEP 3

发送请求

将恶意数据作为查询参数发送给服务器端API。

STEP 4

漏洞触发

服务器端Mongoose处理查询，由于$nor未递归清理，内部操作符逃逸并生效。

STEP 5

执行攻击

数据库执行被污染的查询，返回超出预期的数据或绕过业务逻辑。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Example payload demonstrating the bypass of sanitizeFilter using $nor
// The attacker sends a query object containing a $nor operator
// with a nested $ne operator which is intended to be sanitized.

const userQuery = {
  username: "admin",
  $nor: [
    { password: { $ne: "invalid_password" } } // Malicious operator injection
  ]
};

// In vulnerable versions, sanitizeFilter fails to sanitize the $ne inside $nor
// This could potentially be used to infer data or bypass logic checks depending on the query context.

影响范围

Mongoose < 6.13.9

Mongoose < 7.8.9

Mongoose < 8.22.1

Mongoose < 9.1.6

防御指南

临时缓解措施

建议用户尽快升级至修复版本。若暂时无法升级，应在业务层面对输入数据进行严格校验，禁止包含$nor、$ne等MongoDB操作符的请求直接传入Mongoose查询方法，或使用中间件进行二次过滤。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表