CVE-2025-14847
Mis à jour :
Fuite de données MongoDB due à une mauvaise gestion du protocole Zlib
Une faille critique nommée CVE-2025-14847 affecte MongoDB Server. Elle est causée par une incohérence dans la gestion des paramètres de longueur des en-têtes de protocole compressés via Zlib. Un attaquant non authentifié peut exploiter cette vulnérabilité pour lire de la mémoire non initialisée du serveur. Pour ce faire, il suffit d’envoyer une requête spécialement conçue, permettant ainsi de récupérer des données sensibles contenues dans la mémoire vive du serveur.
L’accès réseau au port de la base de données est suffisant pour mener cette attaque.
Points Clés :
- Cause : Incohérences dans les champs de longueur des en-têtes de protocole compressés Zlib.
- Impact : Lecture de mémoire heap non initialisée par un client non authentifié.
- Conditions : Accès réseau au port de MongoDB, sans authentification requise.
Vulnérabilités :
- CVE-2025-14847
- Versions affectées : Toutes les versions de MongoDB Server de 3.6 à 7.0 (avant les versions corrigées). Cela inclut les versions :
- 7.0 avant 7.0.28
- 8.0 avant 8.0.17
- 8.2 avant 8.2.3
- 6.0 avant 6.0.27
- 5.0 avant 5.0.32
- 4.4 avant 4.4.30
- 4.2 (versions 4.2.0 et supérieures)
- 4.0 (versions 4.0.0 et supérieures)
- 3.6 (versions 3.6.0 et supérieures)
- Scores CVSS :
- CVSS 4.0 : Score de base de 8.7 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)
- CVSS 3.1 : Score de base de 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Recommandations :
- Mettre à jour MongoDB Server vers les versions corrigées : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, 4.4.30 ou ultérieures.