CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-29793

Critical
Published: Translated: NVD NIST

Summary

Feathersjs to framework do tworzenia interfejsów API i aplikacji w czasie rzeczywistym z użyciem TypeScript lub JavaScript. W wersjach od 5.0.0 do przed 5.0.42 klienci Socket.IO mogą wysyłać dowolne obiekty JavaScript jako argument id do metod serwisowych, co prowadzi do braku sprawdzania typu tego argumentu.

Risk Assessment

W przypadku użycia adaptera MongoDB, te obiekty mogą być używane w zapytaniach MongoDB jako operatory, co pozwala na dopasowanie wszystkich dokumentów w kolekcji. To stwarza poważne ryzyko nieautoryzowanego dostępu do danych.

Recommendation

Zaleca się aktualizację do wersji 5.0.42 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji danych wejściowych.

Original NVD description (English source)

Feathersjs is a framework for creating web APIs and real-time applications with TypeScript or JavaScript. From 5.0.0 to before 5.0.42, Socket.IO clients can send arbitrary JavaScript objects as the id argument to any service method (get, patch, update, remove). The transport layer performs no type checking on this argument. When the service uses the MongoDB adapter, these objects pass through getObjectId() and land directly in the MongoDB query as operators. Sending {$ne: null} as the id matches every document in the collection. This vulnerability is fixed in 5.0.42.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS