CVE-2025-14847

1 minute de lecture

Mis à jour : December 31, 2025

Vulnérabilité MongoDB : Fuite de mémoire par compression Zlib

Une faille critique nommée CVE-2025-14847 affecte le serveur MongoDB. Elle résulte d’une mauvaise gestion des incohérences dans les paramètres de longueur des en-têtes du protocole compressé par Zlib. Un client non authentifié, en exploitant ces différences de longueur, peut lire de la mémoire non initialisée du tas (heap). Cela permettrait à un attaquant d’accéder à des données sensibles résidant en mémoire vive du serveur, sans nécessiter de credentials.

Points clés :

Cause : Incohérences dans les champs de longueur des en-têtes du protocole compressé Zlib.
Impact : Lecture de mémoire non initialisée du tas par un client non authentifié.
Accès : Nécessite seulement un accès réseau au port de la base de données, sans authentification préalable.
CVSS 4.0 : Score de base de 8.7.
CVSS 3.1 : Score de base de 7.5.

Versions affectées :

Toutes les versions de MongoDB Server de 3.6 jusqu’aux versions corrigées suivantes : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30.

Recommandations :

Appliquer les correctifs disponibles pour les versions mentionnées afin de résoudre cette vulnérabilité. Pour les versions antérieures à 7.0.28 (7.0), 8.0.17 (8.0), 8.2.3 (8.2), 6.0.27 (6.0), 5.0.32 (5.0), et 4.4.30 (4.4), ainsi que pour les versions 4.2, 4.0 et 3.6.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-14847

Partager sur

Vous pourriez aimer

U.S. Treasury Lifts Sanctions on Three Individuals Linked to Intellexa and Predator Spyware

Trust Wallet Chrome Extension Hack Drains $8.5M via Shai-Hulud Supply Chain Attack

RondoDox botnet exploits React2Shell flaw to breach Next.js servers

Researchers Spot Modified Shai-Hulud Worm Testing Payload on npm Registry

Nouvelle campagne Shai-Hulud et cheval de Troie Jackson sur Maven