Selon un article publié par Gbhackers, une vulnérabilité critique (CVE-2025-6709) a été découverte dans MongoDB Server, permettant à des attaquants non authentifiés de provoquer des conditions de déni de service (DoS) en exploitant une validation incorrecte des entrées dans le mécanisme d’authentification OIDC.
Cette faille permet aux acteurs malveillants de faire planter les serveurs de bases de données en envoyant des charges utiles JSON spécialement conçues contenant des valeurs de date spécifiques, entraînant des échecs invariants et des plantages de serveurs. Les versions affectées incluent MongoDB Server avant 7.0.17, 8.0.5, et 6.0.21 (avec authentification requise pour l’exploitation de la version 6.x).
L’analyse de la vulnérabilité indique que les attaquants peuvent reproduire l’exploit en utilisant le shell mongo de MongoDB pour envoyer des charges utiles JSON malveillantes ciblant le mécanisme d’authentification OIDC. Cela conduit à des crashes complets de serveurs sans authentification dans les déploiements v7.0 et v8.0, et à des DoS post-authentification dans les environnements v6.0.
MongoDB recommande de mettre à jour immédiatement vers les versions corrigées : v6.0.21 ou ultérieure, v7.0.17 ou ultérieure, et v8.0.5 ou ultérieure. Pour les environnements où une mise à jour immédiate n’est pas possible, il est conseillé de désactiver l’authentification OIDC jusqu’à ce que les mises à jour soient appliquées.
Cet article est une alerte de sécurité visant à informer les administrateurs des mesures à prendre pour atténuer cette vulnérabilité.
🔗 Source originale : https://gbhackers.com/pre-auth-flaw-in-mongodb-server/
🖴 Archive : https://web.archive.org/web/20250627132729/https://gbhackers.com/pre-auth-flaw-in-mongodb-server/