Компания MongoDB предупредила ИТ-администраторов о необходимости немедленного устранения уязвимости высокой степени опасности, которая может быть использована для атак с удалённым выполнением кода (RCE) на уязвимые серверы.
Эта уязвимость в системе безопасности, обозначенная как CVE-2025-14847, затрагивает несколько версий MongoDB и MongoDB Server и может быть использована злоумышленниками без аутентификации для проведения атак низкой сложности, не требующих взаимодействия с пользователем.
CVE-2025-14847 связан с неправильной обработкой несоответствия параметров длины, что может позволить злоумышленникам выполнить произвольный код и потенциально получить контроль над целевыми устройствами.
Чтобы устранить уязвимость в системе безопасности и предотвратить потенциальные атаки, администраторам рекомендуется немедленно обновить MongoDB до версии 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.
Уязвимость затрагивает следующие версии MongoDB:
- MongoDB с 8.2.0 по 8.2.3
- MongoDB с 8.0.0 по 8.0.16
- MongoDB с 7.0.0 по 7.0.26
- MongoDB с 6.0.0 по 6.0.26
- MongoDB с 5.0.0 по 5.0.31
- MongoDB с 4.4.0 по 4.4.29
- Все версии сервера MongoDB версии 4.2.2
- Все версии сервера MongoDB версии 4.0
- Все версии MongoDB Server версии v3.6
«Эксплойт на стороне клиента в реализации zlib на сервере может привести к возврату неинициализированной памяти кучи без аутентификации на сервере. Мы настоятельно рекомендуем как можно скорее перейти на исправленную версию», — сообщила в пятницу команда по безопасности MongoDB.
«Мы настоятельно рекомендуем вам немедленно выполнить обновление. Если вы не можете выполнить обновление немедленно, отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors, который явно исключает zlib».
Четыре года назад Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость MongoDB mongo-express RCE (CVE-2019-10758) в свой каталог известных эксплуатируемых уязвимостей, пометив её как активно эксплуатируемую и обязав федеральные агентства защитить свои системы в соответствии с обязательной оперативной директивой (BOD) 22-01.
MongoDB — это популярная система управления нереляционными базами данных (СУБД), которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
Программное обеспечение для баз данных используется более чем 62 500 клиентами по всему миру, в том числе десятками компаний из списка Fortune 500.