MongoDB Vulnerability CVE-2025-14847 Under Active Exploitation Worldwide
Mis à jour :
Exploitation d’une faille critique dans MongoDB : MongoBleed
Une vulnérabilité de sécurité majeure, identifiée sous la référence CVE-2025-14847 (score CVSS de 8.7), est activement exploitée à l’échelle mondiale, affectant potentiellement plus de 87 000 instances MongoDB. Surnommée “MongoBleed”, cette faille permet à un attaquant non authentifié de lire à distance des fragments de données sensibles depuis la mémoire du serveur MongoDB.
Le problème réside dans une faiblesse de l’implémentation de la décompression du compresseur zlib au niveau du réseau. En envoyant des paquets réseau spécialement conçus, un attaquant peut déclencher une fuite d’informations en accédant à de la mémoire heap non initialisée. Les données potentiellement compromises incluent des informations utilisateur, des mots de passe et des clés API.
Points Clés :
- Vulnérabilité : CVE-2025-14847 (MongoBleed)
- Impact : Fuite de données sensibles à distance, sans authentification requise.
- Cause : Erreur dans la logique de décompression des messages réseau utilisant zlib.
- Portée : Affecte les instances MongoDB utilisant la compression zlib (activée par défaut).
- Nombre d’instances vulnérables : Plus de 87 000 identifiées, principalement aux États-Unis, en Chine, en Allemagne, en Inde et en France. 42% des environnements cloud contiennent au moins une instance vulnérable.
Recommandations :
- Mise à jour immédiate : Installer les versions corrigées de MongoDB : 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, et 4.4.30. Les patches pour MongoDB Atlas ont été appliqués.
- Désactivation temporaire de zlib : Configurer MongoDB pour ne pas utiliser zlib pour la compression réseau (via les options
networkMessageCompressorsounet.compression.compressorsexcluant zlib). - Restriction d’accès : Limiter l’exposition réseau des serveurs MongoDB.
- Surveillance : Surveiller les journaux MongoDB pour détecter des connexions suspectes avant authentification.