米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、MongoDB Serverに影響する深刻な脆弱性CVE-2025-14847が積極的に悪用されていることについて、重大な警告を発出しました。
この欠陥は2025年12月29日にCISAの既知の悪用されている脆弱性(KEV)カタログに追加され、脅威アクターが現実の攻撃でこのセキュリティ上の弱点を積極的に狙っていることが確認されました。
CVE-2025-14847は、MongoDB ServerのZlib圧縮プロトコルヘッダーにおける、長さパラメータの不整合の不適切な取り扱いに起因する脆弱性です。
この重大な欠陥により、認証不要の攻撃者がリモートから未初期化のヒープメモリを読み取れるようになり、認証情報なしにサーバーメモリ内に保存された機微情報が露出する可能性があります。
この脆弱性は、CWE-130(実際のデータと不整合な長さパラメータの不適切な取り扱い)に分類されています。
深刻性は到達容易性にあり、攻撃者は認証なしで悪用できるため、インターネットに公開されているMongoDBの導入環境は特に脆弱です。
未初期化のヒープメモリには、データベースの認証情報、セッショントークン、暗号鍵、または過去の処理でメモリに残った機密性の高い業務情報など、機微なデータが含まれている可能性があります。
この欠陥がランサムウェア攻撃キャンペーンに組み込まれているかどうかは不明ですが、積極的に悪用されている状況であるため、MongoDB基盤を運用する組織は直ちに対応する必要があります。
CISAの拘束力のある運用指令(BOD)22-01に基づき、連邦機関および組織は2026年1月19日までに緩和策を実施しなければなりません。
組織は、ベンダーの指示に従い、MongoDBが公開したセキュリティパッチおよび更新を直ちに適用すべきです。
クラウドベースのMongoDB導入環境については、管理者はクラウドサービス向けのBOD 22-01における該当ガイダンスに従うべきです。
緩和策やパッチが利用できない場合、CISAは適切なセキュリティ対策が整うまで、影響を受ける製品の使用を中止することを推奨しています。
組織は、インターネットに面したMongoDBインスタンスのパッチ適用を優先し、侵害の可能性があるシステムを特定するために徹底したセキュリティ評価を実施すべきです。
翻訳元: https://cyberpress.org/cisa-warns-of-actively-exploited-mongodb-server-vulnerability-cve-2025-14847/