MongoBleed: aktívne zneužívaná zraniteľnosť MongoDB server umožňuje čítať pamäť

Vývojári MongoDB Server opravili vysoko závažnú zraniteľnosť umožňujúcu vzdialenému neautentifikovanému útočníkovi manipulovať premenné v hlavičkách požiadaviek a získavať tak citlivé informácie z pamäte na halde (angl. heap) v rámci operačnej pamäte. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

• MongoDB Server v8.2 staršie ako 8.2.3
• MongoDB Server v8.0 staršie ako 8.0.17
• MongoDB Server v7.0 staršie ako 7.0.28
• MongoDB Server v6.0 staršie ako 6.0.27
• MongoDB Server v5.0 staršie ako 5.0.32
• MongoDB Server v4.4 staršie ako 4.4.30
• MongoDB Server v4.2, všetky verzie
• MongoDB Server v4.0, všetky verzie
• MongoDB Server v3.6, všetky verzie

Opis činnosti:

CVE-2025-14847 (CVSS v4 skóre 8,7)

Aplikácia MongoDB Server obsahuje vysoko závažnú zraniteľnosť, ktorá umožňuje vzdialenému neautentifikovanému útočníkovi čítať neinicializovanú pamäť na halde, priradenú databáze. Chyba zabezpečenia súvisí s neošetrenou dĺžkou polí protokolových hlavičiek správ, ktoré boli skomprimované pomocou nástroja Zlib. V správe OP_COMPRESSED môže útočník manipulovať hodnotu premennej „uncompressedSize“ a prepísať ju na väčšiu ako je veľkosť obsahu správy. Aplikácia následne bez kontroly na základe hodnoty tejto premennej alokuje vyrovnávaciu pamäť. Server následne v rámci chybového hlásenia vypíše obsah správy spolu s obsahom nadbytočnej pamäte.

Zraniteľnosť dostala názov MongoBleed a je aktívne zneužívaná. Existuje pre ňu verejne dostupný kód demonštrujúci možnosti jej zneužitia.

Možné škody:

• Únik citlivých informácií

Odporúčania:

Odporúčame bezodkladnú aktualizáciu aplikácie MongoDB Server aspoň na verziu 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, alebo 4.4.30.

Pre mitigáciu zraniteľnosti do doby aktualizácie aplikácie môžete zakázať komprimovanie požiadaviek nástrojom zlib. Odporúča sa tiež zakázať komunikáciu z internetu na port TCP 27017 a povoliť prístup iba z dôveryhodných zdrojov.

Taktiež odporúčame vykonať kontrolu logov na prítomnosť pokusov o zneužitie zraniteľnosti,
na čo možno použiť, napríklad aj špeciálne vytvorený nástroj MONGOBLEED DETECTOR. Dôležité je vykonať aj zmenu hesiel a kryptografického materiálu, ktorý mohol uniknúť.

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2025-14847
• https://www.akamai.com/blog/security-research/cve-2025-14847-all-you-need-to-know-about-mongobleed
• https://www.mongodb.com/company/blog/news/mongodb-server-security-update-december-2025
• https://github.com/Neo23x0/mongobleed-detector