米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、MongoDBおよびMongoDB Serverに影響する深刻な脆弱性であるCVE-2025-14847が現在悪用されていることについて、重大な警告を発出しました。
この欠陥は2025年12月29日にCISAの既知の悪用されている脆弱性(KEV)カタログに追加され、脅威アクターが現実の攻撃でこのセキュリティ上の弱点を積極的に狙っていることを示しています。
脆弱性の概要
CVE-2025-14847は、MongoDB ServerのZlib圧縮プロトコルヘッダーにおける、長さパラメータの不整合の不適切な取り扱いに起因する脆弱性です。
この重大な欠陥により、認証されていない攻撃者がリモートから初期化されていないヒープメモリを読み取ることが可能となり、認証情報を一切必要とせずにサーバーメモリ内に保存された機微情報が露出するおそれがあります。
この脆弱性はCWE-130に分類されており、実際のデータと一致しない長さパラメータの不適切な取り扱いに関するものです。
この脆弱性の深刻さは、攻撃者が認証なしで悪用できる点にあり、インターネットに公開されているMongoDBの導入環境は特に脆弱です。
初期化されていないヒープメモリには、データベースの認証情報、セッショントークン、暗号鍵、または機密性の高い業務情報など、以前の処理でメモリに残された機微データが含まれている可能性があります。
CISAがCVE-2025-14847を追加したことにより、サイバー犯罪者がこの脆弱性を実環境で積極的に悪用していることが確認されました。
この欠陥がランサムウェア攻撃キャンペーンに組み込まれているかどうかは不明ですが、悪用が進行中であるという状況は、MongoDBインフラを運用する組織にとって直ちに対応が必要であることを意味します。
CISAの拘束力のある運用指令(BOD)22-01に基づき、連邦機関および組織は2026年1月19日までに緩和策を実施しなければなりません。
組織は、ベンダーの指示に従い、MongoDBが公開したセキュリティパッチおよびアップデートを直ちに適用する必要があります。
クラウドベースのMongoDB導入環境については、管理者はクラウドサービス向けの該当するBOD 22-01のガイダンスに従う必要があります。
緩和策またはパッチが利用できない場合、CISAは適切なセキュリティ対策を実装できるまで、影響を受ける製品の使用を中止することを推奨しています。
組織は、インターネットに公開されているMongoDBインスタンスのパッチ適用を優先し、侵害の可能性があるシステムを特定するために徹底したセキュリティ評価を実施すべきです。
翻訳元: https://gbhackers.com/cisa-alerts-on-mongodb-vulnerability-cve-2025-14847/
