CVE-2025-14847

Faille Critique dans MongoDB : Fuite de Mémoire Non Autorisée

Une vulnérabilité identifiée comme CVE-2025-14847 affecte MongoDB Server, permettant à des clients non authentifiés de lire la mémoire vive du serveur. Ce problème découle d’une gestion incorrecte des incompatibilités de longueur dans les en-têtes du protocole compressé Zlib.

Points Clés :

• Nature de la faille : Une confusion des champs de longueur dans les en-têtes compressés Zlib.
• Conséquence : Permet la lecture de mémoire heap non initialisée.
• Impact : Potentiellement, un attaquant peut accéder à des données sensibles contenues dans la mémoire du serveur.
• Accès requis : L’attaquant n’a pas besoin d’authentification mais d’un accès réseau au port de la base de données.

Vulnérabilités :

• CVE : CVE-2025-14847
• Versions affectées : Toutes les versions de MongoDB Server comprises entre 3.6 et les versions patchées mentionnées ci-dessous.
  • MongoDB Server v7.0 avant 7.0.28
  • MongoDB Server v8.0 avant 8.0.17
  • MongoDB Server v8.2 avant 8.2.3
  • MongoDB Server v6.0 avant 6.0.27
  • MongoDB Server v5.0 avant 5.0.32
  • MongoDB Server v4.4 avant 4.4.30
  • MongoDB Server v4.2 (versions >= 4.2.0)
  • MongoDB Server v4.0 (versions >= 4.0.0)
  • MongoDB Server v3.6 (versions >= 3.6.0)

Recommandations :

• Mise à jour : Installer les versions corrigées de MongoDB Server. Les versions de correction incluent 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30.

Scores de Risque :

• CVSS 4.0 : Score de base de 8.7
• CVSS 3.1 : Score de base de 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Source