MongoDB предупреждает администраторов о необходимости немедленного устранения серьёзной уязвимости RCE

Главная » Базы данных » MongoDB » MongoDB предупреждает администраторов о необходимости немедленного устранения серьёзной уязвимости RCE

25.12.2025

Время чтения: 2 мин.

Компания MongoDB предупредила ИТ-администраторов о необходимости немедленного устранения уязвимости высокой степени опасности, которая может быть использована для атак с удалённым выполнением кода (RCE) на уязвимые серверы.

Эта уязвимость в системе безопасности, обозначенная как CVE-2025-14847, затрагивает несколько версий MongoDB и MongoDB Server и может быть использована злоумышленниками без аутентификации для проведения атак низкой сложности, не требующих взаимодействия с пользователем.

CVE-2025-14847 связан с неправильной обработкой несоответствия параметров длины, что может позволить злоумышленникам выполнить произвольный код и потенциально получить контроль над целевыми устройствами.

Чтобы устранить уязвимость в системе безопасности и предотвратить потенциальные атаки, администраторам рекомендуется немедленно обновить MongoDB до версии 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.

Уязвимость затрагивает следующие версии MongoDB:

MongoDB с 8.2.0 по 8.2.3
MongoDB с 8.0.0 по 8.0.16
MongoDB с 7.0.0 по 7.0.26
MongoDB с 6.0.0 по 6.0.26
MongoDB с 5.0.0 по 5.0.31
MongoDB с 4.4.0 по 4.4.29
Все версии сервера MongoDB версии 4.2.2
Все версии сервера MongoDB версии 4.0
Все версии MongoDB Server версии v3.6

«Эксплойт на стороне клиента в реализации zlib на сервере может привести к возврату неинициализированной памяти кучи без аутентификации на сервере. Мы настоятельно рекомендуем как можно скорее перейти на исправленную версию», — сообщила в пятницу команда по безопасности MongoDB.

Читать Как установить SQLite на Debian 11

«Мы настоятельно рекомендуем вам немедленно выполнить обновление. Если вы не можете выполнить обновление немедленно, отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors, который явно исключает zlib».

Четыре года назад Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость MongoDB mongo-express RCE (CVE-2019-10758) в свой каталог известных эксплуатируемых уязвимостей, пометив её как активно эксплуатируемую и обязав федеральные агентства защитить свои системы в соответствии с обязательной оперативной директивой (BOD) 22-01.

MongoDB — это популярная система управления нереляционными базами данных (СУБД), которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.

Программное обеспечение для баз данных используется более чем 62 500 клиентами по всему миру, в том числе десятками компаний из списка Fortune 500.

Просмотров поста: 41

Редактор: AndreyEx

Рейтинг: 5 (1 голос)