Katalog CVE

CVE-2026-29793

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Feathersjs to framework do tworzenia interfejsów API i aplikacji w czasie rzeczywistym z użyciem TypeScript lub JavaScript. W wersjach od 5.0.0 do przed 5.0.42 klienci Socket.IO mogą wysyłać dowolne obiekty JavaScript jako argument id do metod serwisowych, co prowadzi do braku sprawdzania typu tego argumentu.

Ocena ryzyka

W przypadku użycia adaptera MongoDB, te obiekty mogą być używane w zapytaniach MongoDB jako operatory, co pozwala na dopasowanie wszystkich dokumentów w kolekcji. To stwarza poważne ryzyko nieautoryzowanego dostępu do danych.

Rekomendacja

Zaleca się aktualizację do wersji 5.0.42 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. From 5.0.0 to before 5.0.42, Socket.IO clients can send arbitrary JavaScript objects as the id argument to any service method (get, patch, update, remove). The transport layer performs no type checking on this argument. When the service uses the MongoDB adapter, these objects pass through getObjectId() and land directly in the MongoDB query as operators. Sending {$ne: null} as the id matches every document in the collection. This vulnerability is fixed in 5.0.42.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS