CRITICAL🇬🇧 English

CVE-2026-29793

Feathers.js – wstrzyknięcie operatorów MongoDB przez Socket.IO (NoSQL Injection)

CVSS 9.3v4.0pub. 2026-03-10upd. 2026-03-19

W bibliotece Feathers.js (wersje 5.0.0–5.0.41) klienci Socket.IO mogą przesyłać dowolne obiekty JavaScript jako argument id do metod serwisowych, co prowadzi do wstrzyknięcia operatorów MongoDB. Podatność umożliwia nieuprawniony dostęp do wszystkich dokumentów w kolekcji bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. From 5.0.0 to before 5.0.42, Socket.IO clients can send arbitrary JavaScript objects as the id argument to any service method (get, patch, update, remove). The transport layer performs no type checking on this argument. When the service uses the MongoDB adapter, these objects pass through getObjectId() and land directly in the MongoDB query as operators. Sending {$ne: null} as the id matches every document in the collection. This vulnerability is fixed in 5.0.42.

🤖 Analiza AI
Jak działa

Warstwa transportowa Feathers.js nie weryfikuje typu argumentu id przekazywanego przez klientów Socket.IO do metod serwisowych (get, patch, update, remove). Gdy serwis korzysta z adaptera MongoDB, przekazany obiekt trafia bez walidacji do funkcji getObjectId(), a następnie bezpośrednio do zapytania MongoDB jako operator. Przykładowo, przesłanie obiektu {"$ne": null} jako id powoduje dopasowanie każdego dokumentu w kolekcji, ponieważ MongoDB interpretuje go jako prawidłowy operator porównania.

Skutki

Nieuwierzytelniony atakujący może odczytać, zmodyfikować lub usunąć wszystkie dokumenty w dotkniętej kolekcji MongoDB, co oznacza pełną utratę poufności, integralności i dostępności przechowywanych danych.

Mitygacja

Należy zaktualizować Feathers.js do wersji 5.0.42 lub nowszej, w której podatność została naprawiona. Szczegółowe informacje dostępne są w referencjach producenta (GHSA-p9xr-7p9p-gpqx).

Kogo dotyczy

Feathersjs Feathers w wersjach od 5.0.0 do 5.0.41 (włącznie), przy użyciu adaptera MongoDB.

Uwagi

Podatność dotyczy wyłącznie aplikacji używających adaptera MongoDB. Serwisy oparte na innych adapterach (np. SQL) mogą nie być bezpośrednio narażone na ten wektor ataku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Feathersjs Feathers

    APP
    Feathersjs
    5.0.0 – 5.0.42 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-29792CRITICAL9.3PL ✓ten sam produkt

Feathers.js: pominięcie uwierzytelnienia OAuth umożliwia przejęcie konta

CVE-2026-27191HIGH7.4ten sam produkt

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. Vers...

CVE-2026-27192HIGH7.6ten sam produkt

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. In v...

CVE-2026-27193HIGH8.2ten sam produkt

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. In v...

CVE-2023-37899HIGH7.5ten sam produkt

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. Feat...

CVE-2026-29793 — Feathers.js – wstrzyknięcie operatorów MongoDB przez Socket.IO (NoSQL Injection) — CRITICAL 9.3 | CVEbaza.pl