Selon la publication du PoC « mongobleed » (auteur : Joe Desimone), une vulnérabilité référencée CVE-2025-14847 affecte la décompression zlib de MongoDB et permet de faire fuiter de la mémoire serveur sans authentification.

• Nature de la faille: un défaut dans la gestion de la décompression zlib retourne la taille du tampon alloué au lieu de la longueur réelle des données décompressées. En déclarant un champ « uncompressedSize » gonflé, le serveur alloue un grand tampon, zlib écrit les données au début, mais MongoDB traite l’intégralité du tampon comme valide, entraînant la lecture de mémoire non initialisée pendant l’analyse BSON.

• Impact observé: fuite de fragments de mémoire pouvant contenir des éléments sensibles tels que des journaux internes MongoDB, l’état du serveur, des paramètres WiredTiger, des données de /proc (ex. meminfo, statistiques réseau), des chemins Docker, des UUID de connexion et des IP clients. Le PoC montre des exemples de fuites (p. ex. MemAvailable, compteurs réseau) et indique la quantité totale de données exfiltrées ainsi que le nombre de fragments uniques. ⚠️

• Produits et versions concernées (avec correctifs):

  • 8.2.x: 8.2.0–8.2.2 (corrigé en 8.2.3)
  • 8.0.x: 8.0.0–8.0.16 (corrigé en 8.0.17)
  • 7.0.x: 7.0.0–7.0.27 (corrigé en 7.0.28)
  • 6.0.x: 6.0.0–6.0.26 (corrigé en 6.0.27)
  • 5.0.x: 5.0.0–5.0.31 (corrigé en 5.0.32)

• Détails techniques clés: l’attaque fonctionne en variant des « offsets »/tailles de documents BSON afin de provoquer la lecture de zones mémoire différentes; la vulnérabilité réside dans la combinaison de la décompression zlib et de l’analyse BSON de MongoDB qui lit des « noms de champs » jusqu’au premier octet nul à partir d’une zone non initialisée.

• Références: OX Security Advisory; MongoDB Fix Commit; Auteur: Joe Desimone (x.com/dez_).

IOCs et TTPs:

  • IOCs: aucun indicateur spécifique fourni.
  • TTPs: exploitation non authentifiée d’un défaut de décompression zlib; manipulation de champs BSON avec taille gonflée; balayage d’offsets pour extraire différents fragments mémoire; ciblage du port MongoDB par défaut (27017).

Type de contenu: publication technique d’un PoC/rapport de vulnérabilité visant à démontrer l’impact et les versions affectées, avec références aux correctifs.

🔗 Source originale : https://github.com/joe-desimone/mongobleed