[TLP:CLEAR] MongoDB server opravuje vysoce závažnou zranitelnost

MongoDB Server verzemi 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 a 4.4.30 opravuje vysoce závažnou, aktivně zneužívanou zranitelnost [1][2]. Opravy na MongoDB Atlas byly aplikovány automaticky [3]. Z nejběžnějších linuxových distribucí je postiženo například Ubuntu (vydání focal 20.04 a bionic 18.04) [4]. Systémy Red Hat postiženy nejsou [5]. Gentoo zranitelnost eviduje [6], přičemž oprava je zatím k dispozici v upstreamu [7].

MongoDB Server - unauthorized memory read (CVE-2025-14847)
CVSS 8.7 (High)

Neautentizovanému vzdálenému útočníkovi je umožněno neoprávněně číst potenciálně citlivá data z neinicializované paměti serveru [8]. Není-li okamžitá aktualizace možná, lze riziko dočasně mitigovat zákazem komprese zlib spuštěním instancí mongod nebo mongos s parametrem 'networkMessageCompressors' nebo 'net.compression.compressors' specificky vylučující zlib (např. snappy nebo zstd) [1]. PoC je k dispozici na [9].

Zranitelnost se nachází v produktu MongoDB Server ve verzích (>=3.6 AND <=3.6.23) OR (>=4.0 AND <=4.0.28) OR (>=4.2 AND <=4.2.25) OR (>=4.4 AND <4.4.30) OR (>=5.0 AND <5.0.32) OR (>=6.0 AND <6.0.27) OR (>=7.0 AND <7.0.28) OR (>=8.0 AND <8.0.17) OR (>=8.2 AND <8.2.3).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 19. 12. 2025.

Za CESNET-CERTS Michaela Ručková dne 30. 12. 2025.

CESNET-CERTS Logo