Η MongoDB έχει προειδοποιήσει τους διαχειριστές IT να επιδιορθώσουν αμέσως μια ευπάθεια υψηλής σοβαρότητας που μπορεί να αξιοποιηθεί σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE) που στοχεύουν ευάλωτους διακομιστές.
Παρακολούθηση ως CVE-2025-14847αυτό το ελάττωμα ασφαλείας επηρεάζει πολλαπλές εκδόσεις MongoDB και MongoDB Server και μπορεί να εκμεταλλευτεί από μη επαληθευμένους παράγοντες απειλών σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Το CVE-2025-14847 οφείλεται σε ένα ακατάλληλος χειρισμός της ασυνέπειας των παραμέτρων μήκουςτο οποίο μπορεί να επιτρέψει στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα και ενδεχομένως να αποκτήσουν τον έλεγχο στοχευμένων συσκευών.
Για να επιδιορθώσετε το ελάττωμα ασφαλείας και να αποκλείσετε πιθανές επιθέσεις, συνιστάται στους διαχειριστές να κάνουν άμεση αναβάθμιση σε MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ή 4.4.30.
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις MongoDB:
- MongoDB 8.2.0 έως 8.2.3
- MongoDB 8.0.0 έως 8.0.16
- MongoDB 7.0.0 έως 7.0.26
- MongoDB 6.0.0 έως 6.0.26
- MongoDB 5.0.0 έως 5.0.31
- MongoDB 4.4.0 έως 4.4.29
- Όλες οι εκδόσεις MongoDB Server v4.2
- Όλες οι εκδόσεις MongoDB Server v4.0
- Όλες οι εκδόσεις MongoDB Server v3.6
“Μια εκμετάλλευση από την πλευρά του πελάτη της εφαρμογής zlib του διακομιστή μπορεί να επιστρέψει μη αρχικοποιημένη μνήμη σωρού χωρίς έλεγχο ταυτότητας στον διακομιστή. Συνιστούμε ανεπιφύλακτα την αναβάθμιση σε σταθερή έκδοση το συντομότερο δυνατό”, η ομάδα ασφαλείας της MongoDB είπε σε συμβουλευτική της Παρασκευής.
“Σας προτείνουμε ανεπιφύλακτα να κάνετε άμεση αναβάθμιση. Εάν δεν μπορείτε να κάνετε άμεση αναβάθμιση, απενεργοποιήστε τη συμπίεση zlib στον διακομιστή MongoDB ξεκινώντας το mongod ή το mongos με μια επιλογή networkMessageCompressors ή net.compression.compressors που παραλείπει ρητά το zlib.”
Πρόσθεσε η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA). άλλο ένα ελάττωμα MongoDB RCE (CVE-2019-10758) στον κατάλογό της με γνωστές εκμεταλλευόμενες ευπάθειες πριν από τέσσερα χρόνια, επισημαίνοντάς το ως ενεργό εκμετάλλευση και παραγγέλνοντας τις ομοσπονδιακές υπηρεσίες να διασφαλίσουν τα συστήματά τους, σύμφωνα με την εντολή Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 22-01.
Το MongoDB είναι ένα δημοφιλές μη σχεσιακό σύστημα διαχείρισης βάσεων δεδομένων (DBMS) που, σε αντίθεση με τις σχεσιακές βάσεις δεδομένων όπως η PostgreSQL και η MySQL, αποθηκεύει δεδομένα σε έγγραφα BSON (Binary JSON) αντί για πίνακες.
Το λογισμικό της βάσης δεδομένων χρησιμοποιείται από περισσότερους από 62.500 πελάτες παγκοσμίως, συμπεριλαμβανομένων δεκάδων εταιρειών του Fortune 500.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
