CVE-2025-14847

Exploitation de MongoDB via une faiblesse de compression

Une vulnérabilité critique, identifiée sous la référence CVE-2025-14847, affecte le serveur MongoDB. Elle permet à des clients non authentifiés d’accéder à des données sensibles en lisant la mémoire du tas (heap) non initialisée. Ce défaut provient d’une mauvaise gestion des paramètres de longueur dans les en-têtes du protocole compressé par Zlib. En manipulant ces longueurs, un attaquant peut inciter le serveur à divulguer des informations contenues dans sa mémoire vive.

L’exploitation ne nécessite aucune authentification préalable, seulement un accès réseau au port de la base de données.

Vulnérabilités :

• CVE-2025-14847 : Mauvaise gestion des paramètres de longueur dans les en-têtes du protocole compressé Zlib, permettant la lecture de mémoire tas non initialisée.

Versions affectées :

• MongoDB Server v7.0 avant la version 7.0.28
• MongoDB Server v8.0 avant la version 8.0.17
• MongoDB Server v8.2 avant la version 8.2.3
• MongoDB Server v6.0 avant la version 6.0.27
• MongoDB Server v5.0 avant la version 5.0.32
• MongoDB Server v4.4 avant la version 4.4.30
• MongoDB Server v4.2 versions 4.2.0 et supérieures
• MongoDB Server v4.0 versions 4.0.0 et supérieures
• MongoDB Server v3.6 versions 3.6.0 et supérieures

Recommandations :

Les utilisateurs de MongoDB sont fortement encouragés à mettre à jour leurs serveurs vers les versions corrigées : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30. Il est essentiel d’appliquer ces correctifs pour prévenir les accès non autorisés et la fuite de données sensibles.

Source