CVE-2025-14847
Mis à jour :
Fuite de données critique dans MongoDB
Une vulnérabilité, identifiée comme CVE-2025-14847, affecte le serveur MongoDB. Elle découle d’une mauvaise gestion des incohérences dans les paramètres de longueur au sein des en-têtes de protocole compressés par Zlib. Des champs de longueur non concordants dans ces en-têtes permettent à un client non authentifié de lire la mémoire vive du serveur. En envoyant une requête spécialement conçue, un attaquant peut forcer le serveur à divulguer des données internes.
Cette faille est présente dans de nombreuses versions de MongoDB, allant de la version 3.6 jusqu’aux versions patchées, notamment :
- Versions 7.0 antérieures à 7.0.28
- Versions 8.0 antérieures à 8.0.17
- Versions 8.2 antérieures à 8.2.3
- Versions 6.0 antérieures à 6.0.27
- Versions 5.0 antérieures à 5.0.32
- Versions 4.4 antérieures à 4.4.30
- Versions 4.2 et supérieures
- Versions 4.0 et supérieures
- Versions 3.6 et supérieures
L’exploitation ne nécessite pas d’identifiants, mais un accès réseau au port de la base de données suffit pour potentiellement voler des informations sensibles.
Points clés et vulnérabilités
- Nom de la vulnérabilité : CVE-2025-14847
- Produit affecté : MongoDB Server
- Type de vulnérabilité : Lecture de mémoire non initialisée (Memory Leak)
- Cause : Incohérence des champs de longueur dans les en-têtes de protocole compressés par Zlib.
- Impact : Permet à un client non authentifié de lire la mémoire vive du serveur.
- Scores CVSS :
- CVSS 4.0 : Base 8.7 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)
- CVSS 3.1 : Base 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- Statut NVD : En attente d’analyse.
Recommandations
Il est fortement recommandé de mettre à jour les versions de MongoDB affectées vers les versions patchées les plus récentes pour corriger cette vulnérabilité. L’article ne détaille pas de mesures de contournement, privilégiant la mise à jour.