CVE-2025-14847
Mis à jour :
Exploitation d’une faille de sécurité dans MongoDB
Une vulnérabilité identifiée sous la référence CVE-2025-14847 affecte le serveur MongoDB. Elle résulte d’une mauvaise gestion des incohérences dans le paramètre de longueur des en-têtes du protocole compressé Zlib. Cette anomalie peut permettre à un client non authentifié de lire la mémoire non initialisée du tas (heap). En envoyant une requête spécialement conçue, un attaquant peut obtenir des données sensibles présentes dans la mémoire vive du serveur.
Points Clés :
- Nature de la faille : Lecture de mémoire non initialisée (uninitialized heap memory).
- Cause : Incohérences dans les champs de longueur des en-têtes du protocole compressé Zlib.
- Attaque possible : Permet à un client non authentifié d’accéder à des données sensibles.
- Accès requis : Accès réseau au port de la base de données.
Vulnérabilités :
- CVE : CVE-2025-14847
- Versions affectées : Toutes les versions de MongoDB Server de 3.6 à 7.0.28 (excluant les versions corrigées). Plus précisément :
- MongoDB Server v7.0 avant 7.0.28
- MongoDB Server v8.0 avant 8.0.17
- MongoDB Server v8.2 avant 8.2.3
- MongoDB Server v6.0 avant 6.0.27
- MongoDB Server v5.0 avant 5.0.32
- MongoDB Server v4.4 avant 4.4.30
- MongoDB Server v4.2 (versions >= 4.2.0)
- MongoDB Server v4.0 (versions >= 4.0.0)
- MongoDB Server v3.6 (versions >= 3.6.0)
Scores de Risque :
- CVSS 4.0 : Score de base 8.7
- CVSS 3.1 : Score de base 7.5 (Impact : 3.6, Exploitabilité : 3.9)
Recommandations :
Bien que l’article ne fournisse pas de recommandations explicites, il est fortement suggéré de mettre à jour les instances de MongoDB Server vers les versions corrigées pour atténuer ce risque. Les versions corrigées incluent notamment : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30.