Ενημέρωση 26/12/25: Το άρθρο ενημερώθηκε για να διορθωθεί ότι το ελάττωμα δεν έχει ταξινομηθεί επίσημα ως RCE.
Η MongoDB έχει προειδοποιήσει τους διαχειριστές IT να επιδιορθώσουν αμέσως μια ευπάθεια ανάγνωσης μνήμης υψηλής σοβαρότητας που μπορεί να εκμεταλλευτεί εξ αποστάσεως από μη επαληθευμένους εισβολείς.
Παρακολούθηση ως CVE-2025-14847το ελάττωμα ασφαλείας επηρεάζει πολλαπλές εκδόσεις MongoDB και MongoDB Server και μπορεί να γίνει κατάχρηση από μη επικυρωμένους παράγοντες απειλών σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Μια εκμετάλλευση από την πλευρά του πελάτη της εφαρμογής zlib του διακομιστή μπορεί να επιστρέψει μη αρχικοποιημένη μνήμη σωρού χωρίς έλεγχο ταυτότητας στον διακομιστή. Συνιστούμε ανεπιφύλακτα την αναβάθμιση σε σταθερή έκδοση το συντομότερο δυνατό”, η ομάδα ασφαλείας της MongoDB είπε σε συμβουλευτική της Παρασκευής.
“Σας προτείνουμε ανεπιφύλακτα να κάνετε άμεση αναβάθμιση. Εάν δεν μπορείτε να κάνετε άμεση αναβάθμιση, απενεργοποιήστε τη συμπίεση zlib στον διακομιστή MongoDB ξεκινώντας το mongod ή το mongos με μια επιλογή networkMessageCompressors ή net.compression.compressors που παραλείπει ρητά το zlib.”
Το CVE-2025-14847 οφείλεται σε ακατάλληλο χειρισμό της ασυνέπειας των παραμέτρων μήκους, η οποία σύμφωνα με τη σχετική Ταξινόμηση CWE-130θα μπορούσε ενδεχομένως να επιτρέψει στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα και να αποκτήσουν δυνητικά τον έλεγχο στοχευμένων συσκευών σε ορισμένες περιπτώσεις.
Για να επιδιορθώσετε το ελάττωμα ασφαλείας και να αποκλείσετε πιθανές επιθέσεις, συνιστάται στους διαχειριστές να κάνουν άμεση αναβάθμιση σε MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ή 4.4.30.
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις MongoDB:
- MongoDB 8.2.0 έως 8.2.3
- MongoDB 8.0.0 έως 8.0.16
- MongoDB 7.0.0 έως 7.0.26
- MongoDB 6.0.0 έως 6.0.26
- MongoDB 5.0.0 έως 5.0.31
- MongoDB 4.4.0 έως 4.4.29
- Όλες οι εκδόσεις MongoDB Server v4.2
- Όλες οι εκδόσεις MongoDB Server v4.0
- Όλες οι εκδόσεις MongoDB Server v3.6
Πρόσθεσε η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA). ένα ελάττωμα MongoDB mongo-express RCE (CVE-2019-10758) στον κατάλογό της με γνωστές εκμεταλλευόμενες ευπάθειες πριν από τέσσερα χρόνια, επισημαίνοντάς το ως ενεργό εκμετάλλευση και παραγγέλνοντας τις ομοσπονδιακές υπηρεσίες να διασφαλίσουν τα συστήματά τους, σύμφωνα με την εντολή Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 22-01.
Το MongoDB είναι ένα δημοφιλές μη σχεσιακό σύστημα διαχείρισης βάσεων δεδομένων (DBMS) που, σε αντίθεση με τις σχεσιακές βάσεις δεδομένων όπως η PostgreSQL και η MySQL, αποθηκεύει δεδομένα σε έγγραφα BSON (Binary JSON) αντί για πίνακες.
Το λογισμικό της βάσης δεδομένων χρησιμοποιείται από περισσότερους από 62.500 πελάτες παγκοσμίως, συμπεριλαμβανομένων δεκάδων εταιρειών του Fortune 500.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
