MongoDBは、CVE-2025-14847として追跡されている重大なセキュリティ脆弱性を開示しました。この脆弱性により、攻撃者は認証なしでデータベースサーバーから未初期化のヒープメモリを抽出できる可能性があります。
v3.6までさかのぼる複数のMongoDBバージョンに影響するこの欠陥は、サーバーのzlib圧縮実装におけるクライアント側のエクスプロイトに起因します。
このセキュリティ問題により、悪意ある攻撃者は、ネットワークメッセージの圧縮に使用されるzlib圧縮メカニズムを悪用して、サーバーメモリから機密データを取得できます。
この脆弱性が特に危険である理由は、攻撃者がMongoDBサーバーに認証することなくエクスプロイトを実行でき、悪用のハードルが大幅に下がる点にあります。
この脆弱性は、さまざまなバージョンにわたる広範なMongoDBの導入環境に影響します。影響を受けるインストールには、MongoDB 8.2.0〜8.2.2、MongoDB 8.0.0〜8.0.16、MongoDB 7.0.0〜7.0.26、MongoDB 6.0.0〜6.0.26、MongoDB 5.0.0〜5.0.31、MongoDB 4.4.0〜4.4.29が含まれます。
さらに、MongoDB Serverのバージョン4.2、4.0、3.6のすべてのインスタンスは、このエクスプロイトに対して脆弱なままです。
露出するヒープメモリには、認証情報、クエリデータ、暗号鍵、または処理中にサーバーメモリへ一時的に保存されるその他の機密データベース内容など、極めて機微な情報が含まれる可能性があります。
組織は、未初期化メモリの露出問題に対処する修正が含まれるMongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30へアップグレードする必要があります。
直ちにアップグレードできない組織向けに、MongoDBは一時的な回避策を提供しています。MongoDBサーバーでzlib圧縮を無効化してください。
これは、networkMessageCompressorsまたはnet. compression.compressorsの設定オプションでzlibを明示的に除外するようにして、mongodまたはmongosを起動することで行います。安全な代替の圧縮値には「snappy,zstd」または「disabled」があります。
データベース管理者は、この脆弱性が重大であり、悪用に認証要件がないことを踏まえ、優先的にパッチ適用を行うべきです。
この脆弱性は2025年12月19日に解決され、現在、サポート対象のすべてのMongoDBバージョンでパッチが利用可能です。
翻訳元: https://cyberpress.org/critical-mongodb-vulnerability-2/