Η κρίσιμη ευπάθεια MongoDB εκθέτει ευαίσθητα δεδομένα μέσω της συμπίεσης Zlib

Μια κρίσιμη ευπάθεια ασφαλείας, η οποία παρακολουθείται ως CVE-2025-14847, που θα μπορούσε να επιτρέψει στους εισβολείς να εξάγουν μη αρχικοποιημένη μνήμη σωρού από διακομιστές βάσης δεδομένων χωρίς έλεγχο ταυτότητας.

Το ελάττωμα βρίσκεται στην εφαρμογή συμπίεσης zlib του MongoDB και επηρεάζει πολλαπλές εκδόσεις της πλατφόρμας βάσης δεδομένων.​

Η ευπάθεια επιτρέπει την εκμετάλλευση από την πλευρά του πελάτη της εφαρμογής zlib του διακομιστή MongoDB. Πιθανή έκθεση ευαίσθητων δεδομένων που είναι αποθηκευμένα σε μη αρχικοποιημένη μνήμη σωρού.

Αυτό που καθιστά αυτό το ελάττωμα ιδιαίτερα επικίνδυνο είναι ότι οι εισβολείς μπορούν να το εκμεταλλευτούν χωρίς έλεγχο ταυτότητας στον διακομιστή, μειώνοντας σημαντικά το εμπόδιο για τους κακόβουλους παράγοντες.​

Η ευπάθεια επηρεάζει ένα ευρύ φάσμα εκδόσεων MongoDB, που καλύπτουν πολλές σημαντικές εκδόσεις:​

Η MongoDB συνιστά ανεπιφύλακτα την αναβάθμιση στις ενημερωμένες εκδόσεις 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ή 4.4.30.​

Για οργανισμούς που δεν μπορούν να αναβαθμίσουν αμέσως, MongoDB συνιστά μια προσωρινή λύση.

Απενεργοποιήστε τη συμπίεση zlib διαμορφώνοντας το mongod ή το mongos ώστε να παραλείπεται το zlib στο networkMessageCompressors ή στο δίκτυο. Ρυθμίσεις συμπίεσης/συμπιεστή: Χρησιμοποιήστε ασφαλείς εναλλακτικές λύσεις όπως Snappy ή Zstd ή απενεργοποιήστε τη συμπίεση.

Η έκθεση μη αρχικοποιημένης μνήμης σωρού μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών. Πιθανή αποκάλυψη ευαίσθητων περιεχομένων βάσης δεδομένων, κρυπτογραφικών κλειδιών ή άλλων εμπιστευτικών δεδομένων που βρίσκονται στη μνήμη διακομιστή.

Οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στην άμεση ενημέρωση κώδικα των εγκαταστάσεων MongoDB για να αποτρέψουν πιθανές παραβιάσεις δεδομένων.