CVE-2025-14847

Vulnérabilité critique dans MongoDB : Fuite de données via la compression Zlib

Une faille de sécurité découverte dans le serveur MongoDB, identifiée sous la référence CVE-2025-14847, permet à des clients non authentifiés de lire des données sensibles présentes dans la mémoire vive du serveur. Cette vulnérabilité découle d’une mauvaise gestion des incohérences du paramètre de longueur dans les en-têtes des protocoles compressés par Zlib. En envoyant des requêtes spécialement conçues, un attaquant peut inciter le serveur à divulguer des informations non initialisées de son tas mémoire.

Cette faille impacte une large gamme de versions de MongoDB Server, allant de la version 3.6 aux versions antérieures aux correctifs suivants : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30. Il suffit à l’attaquant d’avoir un accès réseau au port de la base de données pour potentiellement extraire des données confidentielles.

Points Clés :

• Nature de la vulnérabilité : Lecture de mémoire heap non initialisée.
• Cause : Incohérences des champs de longueur dans les en-têtes de protocole compressés par Zlib.
• Impact : Permet à des clients non authentifiés d’accéder à des données sensibles.
• Accès requis : Accès réseau au port de la base de données.

Vulnérabilités :

• CVE-2025-14847

Recommandations :

Il est fortement recommandé de mettre à jour les versions affectées de MongoDB Server aux versions corrigées mentionnées ci-dessus (7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, 4.4.30 ou ultérieures).

Source