MongoDBは、脆弱なサーバーを狙ったリモートコード実行(RCE)攻撃で悪用され得る高深刻度の脆弱性について、IT管理者に直ちにパッチを適用するよう警告しました。
CVE-2025-14847として追跡されているこのセキュリティ欠陥は、複数のMongoDBおよびMongoDB Serverのバージョンに影響し、認証されていない脅威アクターが、ユーザー操作を必要としない低複雑度の攻撃で悪用できます。
CVE-2025-14847は、長さパラメータの不整合の不適切な処理に起因しており、攻撃者が任意のコードを実行し、標的デバイスの制御を奪う可能性があります。
このセキュリティ欠陥を修正して潜在的な攻撃を阻止するため、管理者にはMongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30へ直ちにアップグレードすることが推奨されています。
この脆弱性は以下のMongoDBバージョンに影響します:
- MongoDB 8.2.0〜8.2.3
- MongoDB 8.0.0〜8.0.16
- MongoDB 7.0.0〜7.0.26
- MongoDB 6.0.0〜6.0.26
- MongoDB 5.0.0〜5.0.31
- MongoDB 4.4.0〜4.4.29
- MongoDB Server v4.2の全バージョン
- MongoDB Server v4.0の全バージョン
- MongoDB Server v3.6の全バージョン
「サーバーのzlib実装に対するクライアント側のエクスプロイトにより、サーバーへの認証なしに初期化されていないヒープメモリが返される可能性があります。できるだけ早く修正済みバージョンへアップグレードすることを強く推奨します」と、MongoDBのセキュリティチームは金曜日の勧告で述べました。
「直ちにアップグレードすることを強く推奨します。すぐにアップグレードできない場合は、zlibを明示的に除外するnetworkMessageCompressorsまたはnet.compression.compressorsオプションを指定してmongodまたはmongosを起動し、MongoDB Serverでzlib圧縮を無効化してください。」
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は4年前、既知の悪用されている脆弱性カタログに別のMongoDBのRCE欠陥(CVE-2019-10758)を追加し、これを積極的に悪用されているものとしてタグ付けするとともに、拘束力のある運用指令(BOD)22-01に基づき、連邦機関に対してシステムの保護を命じました。
MongoDBは人気の非リレーショナル・データベース管理システム(DBMS)で、PostgreSQLやMySQLのようなリレーショナルデータベースとは異なり、データをテーブルではなくBSON(Binary JSON)ドキュメントとして保存します。
このデータベースソフトウェアは、世界中で62,500社を超える顧客に利用されており、フォーチュン500企業も数十社含まれます。
