CVE-2025-14847

Fuite de mémoire dans MongoDB due à une mauvaise gestion de la compression

Une faille de sécurité, identifiée comme CVE-2025-14847, affecte le serveur MongoDB. Elle permet à un client non authentifié de lire des données de la mémoire heap non initialisée. Ce problème survient à cause d’une mauvaise gestion des champs de longueur dans les en-têtes du protocole compressé Zlib, entraînant des incohérences.

Vulnérabilités :

• CVE-2025-14847 : Lecture de mémoire heap non initialisée par un client non authentifié due à des champs de longueur incohérents dans les en-têtes du protocole compressé Zlib.
  • CVSS 4.0 : 8.7 (CRITIQUE)
  • CVSS 3.1 : 7.5 (ÉLEVÉ)

Versions affectées :

• Toutes les versions de MongoDB Server 3.6 et supérieures, jusqu’aux versions corrigées :
  • 7.0.28
  • 8.0.17
  • 8.2.3
  • 6.0.27
  • 5.0.32
  • 4.4.30

Points clés :

• L’exploitation ne nécessite pas d’authentification, mais un accès réseau au port de la base de données est suffisant.
• Un client malveillant peut construire une requête spécialement conçue pour obtenir des données sensibles présentes dans la mémoire vive du serveur.
• La faille concerne une large gamme de versions de MongoDB.

Recommandations :

• Mettre à jour le serveur MongoDB vers les versions corrigées disponibles pour la branche 7.0 (7.0.28 et ultérieures), la branche 8.0 (8.0.17 et ultérieures), la branche 8.2 (8.2.3 et ultérieures), la branche 6.0 (6.0.27 et ultérieures), la branche 5.0 (5.0.32 et ultérieures), et la branche 4.4 (4.4.30 et ultérieures).

Source