CVE-2025-14847

1 minute de lecture

Mis à jour : December 27, 2025

Vulnérabilité critique dans MongoDB : Fuite de données par compression Zlib

Une faille de sécurité, référencée sous l’identifiant CVE-2025-14847, a été découverte dans le serveur MongoDB. Elle résulte d’une mauvaise gestion des incohérences de longueur dans les en-têtes du protocole compressé Zlib. Cette vulnérabilité permet à un client non authentifié d’accéder à de la mémoire non initialisée du tas (heap) en envoyant une requête spécialement conçue. L’attaquant peut ainsi tromper le serveur pour qu’il révèle des informations sensibles résidant dans sa mémoire vive.

L’existence de cette faille dans une large gamme de versions de MongoDB, allant de la série 3.6 jusqu’aux versions antérieures aux correctifs spécifiés pour les séries 7.0, 8.0, 8.2, 6.0, 5.0 et 4.4, représente un risque significatif. Seul un accès réseau au port de la base de données est nécessaire pour exploiter cette vulnérabilité.

Points Clés :

Type de vulnérabilité : Lecture de mémoire non initialisée.
Mécanisme : Incohérence des champs de longueur dans les en-têtes de protocole compressé Zlib.
Impact : Permet à un attaquant non authentifié de lire des données sensibles présentes dans la mémoire du serveur.
Conditions d’exploitation : Accès réseau au port de MongoDB, aucune authentification requise.

Vulnérabilités identifiées :

CVE-2025-14847
- CVSS 4.0 Score Base : 8.7 (Critique)
- CVSS 3.1 Score Base : 7.5 (Élevé)
- Versions affectées :
  - MongoDB Server v7.0 avant 7.0.28
  - MongoDB Server v8.0 avant 8.0.17
  - MongoDB Server v8.2 avant 8.2.3
  - MongoDB Server v6.0 avant 6.0.27
  - MongoDB Server v5.0 avant 5.0.32
  - MongoDB Server v4.4 avant 4.4.30
  - MongoDB Server v4.2 (versions >= 4.2.0)
  - MongoDB Server v4.0 (versions >= 4.0.0)
  - MongoDB Server v3.6 (versions >= 3.6.0)

Recommandations :

Mettre à jour les versions de MongoDB vers les versions corrigées : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, 4.4.30 ou supérieures.
Pour les versions antérieures qui ne peuvent pas être immédiatement mises à jour, il est crucial de surveiller attentivement les accès réseau au port de MongoDB et de limiter l’exposition publique du service.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-14847

Vulnérabilité critique dans MongoDB : Fuite de données par compression Zlib

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast