Augsta riska ievainojamība MongoDB programmatūrā
MongoDB programmatūrā ir konstatēta augsta riska ievainojamība “MongoBleed”. Ievainojamība CVE-2025-14847 ar CVSS novērtējumu 8,7 ļauj uzbrucējam izmantot kļūdainu Zlib ziņu dekompresijas protokola loģiku, lai nolasītu neinicializētus atmiņas apgabalus.
Šīs ievainojamības rezultātā iespējama sensitīvas informācijas noplūde, tostarp datubāzes žurnālfaili, sistēmas iekšējais stāvoklis, pieslēgušos IP adrešu saraksts un konfigurācijas dati, kurus var izmantot turpmākai nesankcionētai piekļuvei sistēmai.
Ievainojamība ir izmantojama attālināti bez autentifikācijas. Pašreiz pieejamā informācija liecina, ka tā jau tiek aktīvi izmantota kiberuzbrukumos.
Ietekmētās MongoDB programmatūras versijas:
| Ietekmētās versijas | Risinājums |
|---|---|
| 8.2.0 - 8.2.2 | Atjaunināt uz 8.2.3 vai augstāku versiju |
| 8.0.0 - 8.0.16 | Atjaunināt uz 8.0.17 vai augstāku versiju |
| 7.0.0 - 7.0.27 | Atjaunināt uz 7.0.28 vai augstāku versiju |
| 6.0.0 - 6.0.26 | Atjaunināt uz 6.0.26 vai augstāku versiju |
| 5.0.0 - 5.0.31 | Atjaunināt uz 5.0.32 vai augstāku versiju |
| 4.4.0 - 4.4.29 | Atjaunināt uz 4.4.30 vai augstāku versiju |
| 3.6.x, 4.0.x, 4.2.x | Atjaunināt uz 4.4.30 vai augstāku versiju |
Ieteikumi:
Aicinām sekot izstrādātāja norādījumiem un nekavējoties veikt ietekmētās programmatūras atjaunināšanu uz rekomendēto versiju, kur šī ievainojamība ir novērsta.
Ja programmatūras atjaunināšana uzreiz nav iespējama, nepieciešams atiestatīt zlib kompresiju MongoDB serverī izmantojot networkMessageCompressors vai net.compression.compressors opciju, piemēri drošām iestatījumu vērtībām ir snappy, zstd, disabled.
Papildus informācija:
https://nvd.nist.gov/vuln/detail/CVE-2025-14847
https://jira.mongodb.org/browse/SERVER-115508
