CVE-2025-14847

Vulnérabilité Critique dans MongoDB : Fuite de Mémoire via la Compression Zlib

Une faille de sécurité, identifiée comme CVE-2025-14847, affecte MongoDB Server. Elle est due à une mauvaise gestion des incohérences de paramètres de longueur dans les en-têtes du protocole compressé Zlib. Ces différences de longueur peuvent permettre à un client non authentifié d’accéder à la mémoire du tas non initialisée du serveur.

Ce problème, présent dans de nombreuses versions de MongoDB (toutes versions à partir de 3.6 jusqu’aux versions corrigées telles que 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30), nécessite uniquement un accès réseau au port de la base de données pour qu’un attaquant puisse potentiellement extraire des informations sensibles.

Points Clés :

• Nature de la vulnérabilité : Lecture de mémoire non initialisée du tas.
• Cause : Incohérences dans les champs de longueur des en-têtes de protocole compressé Zlib.
• Attaquant : Non authentifié.
• Condition préalable : Accès réseau au port MongoDB.

Vulnérabilités (CVE) :

• CVE-2025-14847

Scores de Risque :

• CVSS 4.0 : Score de base de 8.7.
• CVSS 3.1 : Score de base de 7.5, score d’impact de 3.6, score d’exploitabilité de 3.9 (Vector String : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

Versions Affectées :

• MongoDB Server v7.0 avant 7.0.28
• MongoDB Server v8.0 avant 8.0.17
• MongoDB Server v8.2 avant 8.2.3
• MongoDB Server v6.0 avant 6.0.27
• MongoDB Server v5.0 avant 5.0.32
• MongoDB Server v4.4 avant 4.4.30
• MongoDB Server v4.2 (versions >= 4.2.0)
• MongoDB Server v4.0 (versions >= 4.0.0)
• MongoDB Server v3.6 (versions >= 3.6.0)

Recommandations :

• Appliquer les mises à jour de sécurité fournies par MongoDB pour les versions affectées. Les versions corrigées incluent 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30.
• Surveiller l’activité réseau suspecte sur les ports MongoDB.

Source