CVE-2025-14847

Vulnérabilité critique dans MongoDB : Fuite de données non authentifiée

Une faille de sécurité, identifiée sous la référence CVE-2025-14847, affecte le serveur MongoDB. Elle découle d’une mauvaise gestion des incompatibilités de paramètres de longueur dans les en-têtes du protocole compressé Zlib. Lorsqu’il y a une divergence dans ces champs de longueur, un client non authentifié peut lire la mémoire du tas non initialisée. En envoyant une requête spécialement conçue, un attaquant peut amener le serveur à divulguer des données provenant de sa mémoire interne.

Cette vulnérabilité concerne une large gamme de versions de MongoDB, incluant toutes les versions de 3.6 jusqu’aux versions corrigées 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30. L’exploitation ne nécessite pas d’identifiants, mais un accès réseau au port de la base de données suffit pour potentiellement accéder à des informations sensibles en mémoire vive.

Points Clés :

• Nature de la vulnérabilité : Lecture de mémoire non initialisée du tas.
• Cause : Incompatibilité des champs de longueur dans les en-têtes du protocole compressé Zlib.
• Impact : Accès non authentifié à des données sensibles résidant en mémoire.
• Versions affectées : Toutes les versions de 3.6 jusqu’à celles spécifiquement patchées (voir ci-dessus).

Vulnérabilités :

• CVE-2025-14847

Recommandations :

Il est fortement recommandé de mettre à jour les instances MongoDB vers les versions corrigées afin de remédier à cette faille. Les versions corrigées spécifiques sont : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30.

Source