MongoBleed脆弱性の概念実証(PoC)エクスプロイトコードが一般公開された後も、74,000台超のMongoDBデータベースサーバーが重大なセキュリティ欠陥に対して脆弱なままである。
Shadowserver Foundationによると、オンライン上で現在露出しているMongoDBサーバー78,725台のうち95%に当たる74,854台の露出したMongoDBインスタンスが、CVE-2025-14847の影響を受ける未修正バージョンを実行している。
MongoBleed update: We added MongoDB CVE-2025-14847 tagging today that is version based. This results in 74,854 possibly unpatched versions (out of 78,725 exposed today). IP data on vulnerable instances shared in our Open MongoDB Report: https://t.co/Bt1uU41YlV pic.twitter.com/OnOQbKGUZo
— The Shadowserver Foundation (@Shadowserver) December 29, 2025
重大なヒープメモリ脆弱性
「MongoBleed」と呼ばれるCVE-2025-14847は、MongoDBのzlib圧縮実装に影響する重大な脆弱性である。
この欠陥により、認証されていない攻撃者が、Zlib圧縮プロトコルヘッダー内の長さフィールドの不一致を通じて、初期化されていないヒープメモリを読み取れる。
つまり、脅威アクターは認証資格情報を一切必要とせずに、サーバーメモリから機密データを抽出できるということだ。
MongoDBは、この脆弱性が実環境で積極的に悪用されていることを確認している。この欠陥は、3.6から最新の8.2.xリリースに至るまで、複数年にわたる複数のMongoDBバージョンに影響する。
具体的には、MongoDB 8.2.0-8.2.3、8.0.0-8.0.16、7.0.0-7.0.26、6.0.0-6.0.26、5.0.0-5.0.31、4.4.0-4.4.29、およびv4.2、v4.0、v3.6の全バージョンが影響を受ける。
MongoDBは、この脆弱性に対処するための緊急パッチをリリースした。組織は直ちに修正版へアップグレードする必要がある:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30。
直ちにパッチを適用できないシステムについて、MongoDBは暫定的な回避策を推奨している。MongoDBサーバーを設定し、ネットワークメッセージのコンプレッサーからzlibを除外して、zlib圧縮を無効化することだ。
管理者は、mongodまたはmongosサービスの起動時に、オプションを「snappy,zstd」または「disabled」に設定できる。
Shadowserver Foundationは、脆弱なインスタンスを特定するためにバージョンベースのタグ付けを実装しており、影響を受けるシステムのIPアドレスをOpen MongoDB Reportを通じて共有している。
セキュリティ研究者は、多くのMongoDB導入環境で適切な認証が欠如しており、リスクをさらに増大させていると警告している。MongoDBを運用している組織は、直ちにパッチ適用状況を確認し、未設定であれば認証を有効化すべきである。
翻訳元: https://gbhackers.com/70000-mongodb-servers-exposed/
