以前に報じたとおり、MongoDBにおいて、認証なしでリモート攻撃者がサーバーの未初期化メモリへアクセスできてしまう深刻な脆弱性が発見されました。この問題には識別子CVE-2025-14847が割り当てられ、CVSSスコアは8.7で、高い深刻度を示しています。
Improper Handling of Length Parameter Inconsistency(長さパラメータ不整合の不適切な処理)バグ
CWE-130のエラーは、データ長パラメータの不適切な処理に関連しています。特定の状況下で、サーバーがヘッダーに指定された長さの値を、実際に転送されたデータ量と正しく対応付けられないことがあります。
これはZlib圧縮のデータ交換プロトコルに起因します。圧縮ヘッダー内の長さフィールドが実際の内容と一致しない場合、MongoDBは以前に初期化されていないメモリ領域をクライアントへ返してしまう可能性があります。
平たく言えば、細工されたリクエストにより、ログインせずにサーバーのRAM断片を読み取れるようになります。これらのデータには、プロセスの内部状態、ポインタ、サービス用構造体、あるいは追加攻撃を容易にするその他の情報が含まれる可能性があります。
この脆弱性は、MongoDB Serverの幅広いバージョンに影響します:
- 8.2系:8.2.0〜8.2.3
- 8.0系:8.0.0〜8.0.16
- 7.0系:7.0.0〜7.0.26
- 6.0系:6.0.0〜6.0.26
- 5.0系:5.0.0〜5.0.31
- 4.4系:4.4.0〜4.4.29
- さらにMongoDB Server 4.2、4.0、3.6の全バージョン
開発者はすでに問題を修正するアップデートをリリースしています。修正は8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30で利用可能です。MongoDBは、この脆弱性の悪用がクライアント側から可能で資格情報を必要としないことを強調しており、できるだけ早くアップデートを適用することが推奨されます。
MongoBleedは認証チェックの 前 に実行されます。圧縮された不正形式のネットワークパケットを作成することで、未認証の攻撃者はサーバーに展開後メッセージの長さを誤って処理させ、結果として未初期化のヒープメモリ断片がサーバーからクライアントへ直接返されます。
根本原因はmessage_compressor_zlib.cppにあり、脆弱なコードが展開後データの実際の長さではなく、確保されたバッファサイズを返していました。この微妙ながら重大な欠陥により、サイズ不足または不正形式のペイロードが、機微情報を含む隣接ヒープメモリを露出させることが可能となり、Heartbleedに類似したバッファオーバーフロー型の脆弱性です。
この欠陥は認証前に到達可能で、ユーザーの操作も一切不要なため、インターネットに公開されたMongoDBサーバーは直ちに悪用されるリスクがあります。
Censysによると、現在、世界中で約87,000の潜在的に脆弱なインスタンスが公開されている一方、Wizの調査ではクラウド環境の42%が少なくとも1つの脆弱なMongoDBインスタンスをホストしていると示されています。
オンラインリソース
ここ数日、CVE-2025-14847(zlib圧縮処理(フラグOP_COMPRESSED)の扱いに起因するMongoDBのメモリ情報漏えいという重大な脆弱性)の悪用および検出に特化した複数のリポジトリがGitHub上で公開されました。
ProbiusOfficial/CVE-2025-14847やcybertechajju/CVE-2025-14847_Exploitといったプロジェクトは、脆弱なMongoDBインスタンスのヒープから機微データを直接抽出できることを示すPoCおよび動作するエクスプロイトを提供し、このバグの具体的な影響を浮き彫りにしています。
エクスプロイトに加えて、onewinner/CVE-2025-14847やBlack1hp/mongobleed-scanner、といった検出・スキャンツールも登場しており、公開されたシステムを迅速に特定することを目的としています。これらはバグバウンティ、レッドチーム、セキュリティアセスメントの文脈で非常に有用です。
リポジトリAshwesker/Blackash-CVE-2025-14847は、脆弱性分析に焦点を当てた追加実装を提供し、この分野を補完しています。
総じて、このツール群の波は、コミュニティがこの欠陥に強い関心を寄せていること、そして特にネットワークに公開されている、または十分に更新されていないMongoDBデータベースにおいて、本番環境で現実的に危険であることを裏付けています。