MongoDBは、CVE-2025-14847として追跡されている重大なセキュリティ脆弱性を公開しました。この脆弱性により、攻撃者は認証なしでデータベースサーバーから初期化されていないヒープメモリを抽出できる可能性があります。
v3.6まで遡る複数のMongoDBバージョンに影響するこの欠陥は、サーバーのzlib圧縮実装におけるクライアント側のエクスプロイトに起因します。
脆弱性の概要
このセキュリティ問題により、悪意ある攻撃者は、ネットワークメッセージ圧縮に使用されるzlib圧縮メカニズムを悪用して、サーバーメモリから機密データを取得できるようになります。
この脆弱性が特に深刻である理由は、攻撃者がMongoDBサーバーに認証する必要なくエクスプロイトを実行でき、悪用のハードルが大幅に下がる点にあります。
この脆弱性は、8.2.0〜8.2.2、8.0.0〜8.0.16、7.0.0〜7.0.26、6.0.0〜6.0.26、5.0.0〜5.0.31、4.4.0〜4.4.29を含む、広範なMongoDBの導入環境に影響します。
さらに、MongoDB Serverの4.2、4.0、3.6のすべてのインスタンスが脆弱です。
MongoDBは、修正済みバージョン(8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30)への即時アップグレードを強く推奨しています。これらのリリースには、初期化されていないメモリの露出問題に対処する修正が含まれています。
直ちにアップグレードできない組織は、MongoDBサーバーでzlib圧縮を無効化することで回避策を実施できます。
これは、networkMessageCompressorsまたはnet.compression.compressorsの設定オプションで、zlibを明示的に除外した状態でmongodまたはmongosを起動することを意味します。安全な代替の圧縮値には「snappy,zstd」または「disabled」が含まれます。
データベース管理者は、この脆弱性が重大であり、悪用に認証要件がないことを踏まえ、修正の適用を最優先すべきです。
露出したヒープメモリには、認証情報、クエリデータ、その他の機密性の高いデータベース内容などの機密情報が含まれている可能性があります。
翻訳元: https://gbhackers.com/critical-mongodb-flaw-leaks-sensitive-data-through-zlib-compression/
