CVE-2025-14847

Vulnérabilité Critique MongoDB : Fuite de Mémoire via Compression Zlib

Une faille de sécurité, identifiée sous la référence CVE-2025-14847, affecte MongoDB Server. Elle résulte d’une mauvaise gestion des incohérences dans les paramètres de longueur des en-têtes de protocole compressé Zlib. Un client non authentifié peut exploiter des champs de longueur discordants pour lire de la mémoire heap non initialisée.

Cette vulnérabilité permet à un attaquant, ayant un accès réseau au port de la base de données, de récupérer des informations sensibles stockées dans la RAM du serveur sans avoir besoin d’identifiants.

Points Clés :

• Nature de la faille : Lecture de mémoire heap non initialisée via des en-têtes de protocole Zlib corrompus.
• Impact : Accès non authentifié à des données sensibles.
• Versions affectées : Toutes les versions de MongoDB Server de 3.6 jusqu’aux versions corrigées suivantes : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30. Cela inclut également les versions 4.0.x, 4.2.x.

Vulnérabilité :

• CVE : CVE-2025-14847
• Type : Lecture de mémoire non autorisée (Buffer Overflow/Memory Leak)

Recommandations :

Il est fortement recommandé de mettre à jour MongoDB Server vers les versions corrigées :

• MongoDB Server v7.0.28 et ultérieures
• MongoDB Server v8.0.17 et ultérieures
• MongoDB Server v8.2.3 et ultérieures
• MongoDB Server v6.0.27 et ultérieures
• MongoDB Server v5.0.32 et ultérieures
• MongoDB Server v4.4.30 et ultérieures

Pour les versions antérieures non listées spécifiquement, il est conseillé de consulter la documentation officielle de MongoDB pour connaître les correctifs applicables.

Source