Во всех актуальных версиях популярной СУБД MongoDB обнаружена «дыра». Срочно требуются обновления
«Баг» связан с реализацией алгоритма сжатия сетевого трафика и при худшем сценарии грозит запуском произвольного кода или извлечением конфиденциальных данных. Разработчики уже выложили патчи.
С пометкой «неотложно»
Разработчики популярной системы управления базами данных MongoDB заявили о существовании в своих продуктах высокоопасной уязвимости, которая может привести к запуску произвольного кода на серверном уровне.
«Баг», отслеживаемый как CVE-2025-14847, затрагивает множественные версии MongoDB и MongoDB Server. Потенциальные злоумышленники могут эксплуатировать их с минимальными усилиями, без аутентификации и без какого-либо участия пользователя.
CVE-2025-14847 вызвана некорректной обработкой параметра длины ввода.
Разработчики популярной системы управления базами данных MongoDB заявили о существовании в своих продуктах высокоопасной уязвимости
«Если злоумышленник получает возможность манипулировать параметром длины входных данных, так, чтобы его показатель не соответствовал фактической длине ввода, тем самым он может вызвать неожиданное, в том числе, вредоносное поведение у целевого приложения. Один из возможных мотивов для этого — передача в приложение больших входных данных произвольной величины. Другой возможный мотив — попытка изменения состояния приложения путем включения недопустимых данных для последующих процедур приложения. Такие уязвимости обычно открывают возможности для атак с переполнением буфера и выполнением произвольного кода», — говорится в описании.
Уязвимости затрагивают следующие MongoDB версий 8.2.0 — 8.2.3, 8.0.0 — 8.0.16, MongoDB 7.0.0 — 7.0.26, 6.0.0 — 6.0.26, 5.0.0 — 5.0.31 и 4.4.0 — 4.4.29.
Затронуты также все подверсии MongoDB Server v3.6, 4.0 и 4.2.
Обновления до версий 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30, соответственно, уязвимость устраняют. Остаются, правда, неясным вопрос с версией 8.2.3: в бюллетене MongoDB она указана и в числе уязвимых, и в числе исправленных.
Тривиальная эксплуатация, обширные последствия
В бюллетене упомянуто также, что эксплуатация проблемы, непосредственно присутствующего в алгоритме сжатия zlib в MongoDB Server, на стороне клиента «может привести к возврату неинициализированной памяти кучи без аутентификации на сервере».
Отключение сжатия в zlib в серверных версиях MongoDB — один из рекомендуемых способов промежуточной ремедиации, который следует использовать, если накат обновлений по какой-то причине невозможен.
«Протокол сжатия zlib в MongoDB может использоваться для экономии сетевого трафика между клиентом и сервером, — отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. — Проблема в том, что при использовании MongoDB в облачных средах она нередко остаётся открытой для всех, так что эксплуатация этого «бага» в сетевом протоколе может вызвать довольно масштабные и неприятные последствия. Помимо выполнения произвольного кода эту уязвимость можно использовать для выуживания данных, не предназначающихся для чужих глаз, в том числе, фрагментов запросов и сведений о внутреннем состоянии сервера».
Как пишет издание BleepingComputer, MongoDB — популярная нереляционная система управления базами данных, которая, в отличие от, например, PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
У этой СУБД более чем 62 500 клиентов по всему миру, включая десятки компаний из списка Fortune 500.
