CVE-2025-14847

Vulnérabilité Majeure dans MongoDB : Fuite de Mémoire Heap

Une faille critique nommée CVE-2025-14847 a été identifiée dans MongoDB Server, permettant à des clients non authentifiés d’accéder à des données sensibles résidant dans la mémoire non initialisée du serveur. Cette vulnérabilité exploite une mauvaise gestion des incohérences du paramètre de longueur dans les en-têtes du protocole compressé par Zlib. En envoyant une requête spécialement conçue, un attaquant peut tromper le serveur pour qu’il divulgue des informations issues de sa mémoire interne.

Points Clés :

• Type de vulnérabilité : Lecture de mémoire non initialisée (heap memory).
• Cause : Incohérence des champs de longueur dans les en-têtes de protocole compressé Zlib.
• Accès requis : Accès réseau au port de la base de données, sans nécessiter d’authentification (nom d’utilisateur/mot de passe).

Vulnérabilités (avec CVE) :

• CVE-2025-14847

Versions Affectées :

Cette vulnérabilité affecte une large gamme de versions de MongoDB Server, incluant toutes les versions à partir de la 3.6 jusqu’à celles qui précèdent les versions corrigées suivantes :

• 7.0.28
• 8.0.17
• 8.2.3
• 6.0.27
• 5.0.32
• 4.4.30

Sont également affectées les versions 4.2, 4.0 et 3.6 à partir de leurs versions respectives (≥ 4.2.0, ≥ 4.0.0, ≥ 3.6.0).

Scores de Risque :

• CVSS 4.0 : Score de base de 8.7 (Indiquant un risque élevé).
• CVSS 3.1 : Score de base de 7.5, score d’impact de 3.6, score d’exploitabilité de 3.9 (Indiquant un risque élevé).

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, il est fortement suggéré de :

• Mettre à jour immédiatement MongoDB Server vers une version corrigée (7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, 4.4.30 ou plus récentes).
• Sécuriser l’accès réseau aux instances MongoDB, en appliquant des pare-feux et des listes de contrôle d’accès pour restreindre l’exposition du port de la base de données.

Source