Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2025-14847

1 minute de lecture

Mis à jour :

Fuite de mémoire dans MongoDB via une mauvaise gestion des en-têtes de compression

Une faille critique, identifiée comme CVE-2025-14847, affecte le serveur MongoDB. Elle permet à un client non authentifié de lire de la mémoire non initialisée du tas (heap). Le problème provient d’une mauvaise gestion des incohérences de paramètres de longueur dans les en-têtes du protocole compressé Zlib.

En envoyant une requête spécialement conçue, un attaquant peut amener le serveur à divulguer des données internes sensibles contenues dans sa mémoire vive. La vulnérabilité touche une large gamme de versions de MongoDB, à savoir toutes les versions à partir de 3.6 jusqu’aux versions corrigées 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30. Seul l’accès réseau au port de la base de données est nécessaire pour exploiter cette faille.

Points Clés :

  • Type de vulnérabilité : Lecture de mémoire non initialisée (uninitialized heap memory read).
  • Mécanisme : Incohérences de paramètres de longueur dans les en-têtes du protocole compressé Zlib.
  • Attaquant : Non authentifié.
  • Prérequis : Accès réseau au port MongoDB.

Vulnérabilités :

  • CVE-2025-14847
    • Description : Des champs de longueur incohérents dans les en-têtes du protocole compressé Zlib peuvent permettre à un client non authentifié de lire de la mémoire non initialisée du tas.
    • Versions affectées : Toutes les versions de MongoDB Server de 3.6 à 7.0.28 (non incluses), 8.0.17 (non incluses), 8.2.3 (non incluses), 6.0.27 (non incluses), 5.0.32 (non incluses), 4.4.30 (non incluses). Les versions antérieures (4.0, 4.2, 4.4, 5.0, 6.0, 7.0, 8.0, 8.2) qui ne sont pas encore corrigées sont également concernées.
    • Score CVSS 4.0 : 8.7 (Très critique)
    • Score CVSS 3.1 : 7.5 (Élevé)

Recommandations :

  • Mise à jour immédiate : Installer les versions corrigées de MongoDB Server, notamment 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30, ou les versions ultérieures qui corrigent cette vulnérabilité.
  • Contrôle d’accès réseau : Assurer que l’accès réseau au port MongoDB est strictement contrôlé et limité aux entités autorisées.

Source

Vous pourriez aimer