更新 12/26/25: 本記事は、この欠陥が公式にはRCEとして分類されていないことを明確にするため修正しました。
MongoDBは、未認証の攻撃者がリモートから悪用する可能性がある高深刻度のメモリ読み取り脆弱性について、IT管理者に直ちにパッチを適用するよう警告しました。
CVE-2025-14847として追跡されているこのセキュリティ上の欠陥は、複数のMongoDBおよびMongoDB Serverのバージョンに影響し、ユーザー操作を必要としない低複雑度の攻撃で未認証の脅威アクターに悪用される可能性があります。
「サーバーのzlib実装に対するクライアント側のエクスプロイトにより、サーバーに認証せずに初期化されていないヒープメモリを返させることができます。可能な限り早く修正版へアップグレードすることを強く推奨します」と、MongoDBのセキュリティチームは金曜日のアドバイザリで述べました。
「直ちにアップグレードすることを強く推奨します。すぐにアップグレードできない場合は、networkMessageCompressorsまたはnet.compression.compressorsオプションでzlibを明示的に除外してmongodまたはmongosを起動し、MongoDB Serverでzlib圧縮を無効化してください。」
CVE-2025-14847は長さパラメータの不整合の不適切な処理に起因しており、関連するCWE-130の分類によれば、場合によっては攻撃者が任意のコードを実行し、標的デバイスの制御を得ることを可能にする恐れがあります。
このセキュリティ上の欠陥を修正し、潜在的な攻撃を阻止するため、管理者にはMongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30へ直ちにアップグレードすることが推奨されています。
この脆弱性は以下のMongoDBバージョンに影響します:
- MongoDB 8.2.0〜8.2.3
- MongoDB 8.0.0〜8.0.16
- MongoDB 7.0.0〜7.0.26
- MongoDB 6.0.0〜6.0.26
- MongoDB 5.0.0〜5.0.31
- MongoDB 4.4.0〜4.4.29
- MongoDB Server v4.2の全バージョン
- MongoDB Server v4.0の全バージョン
- MongoDB Server v3.6の全バージョン
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は4年前、既知の悪用済み脆弱性カタログにMongoDBのmongo-expressにおけるRCEの欠陥(CVE-2019-10758)を追加し、これを積極的に悪用されているとしてタグ付けするとともに、拘束力のある運用指令(BOD)22-01に基づき、連邦機関に対してシステムの保護を命じました。
MongoDBは人気の非リレーショナル(非関係)データベース管理システム(DBMS)で、PostgreSQLやMySQLのようなリレーショナルデータベースとは異なり、データをテーブルではなくBSON(Binary JSON)ドキュメントとして保存します。
このデータベースソフトウェアは、世界中で62,500社を超える顧客に利用されており、フォーチュン500企業も数十社含まれます。
