Selon BleepingComputer, MongoDB a émis une alerte pressant les administrateurs IT d’appliquer sans délai les correctifs pour une vulnérabilité classée à haute gravité.
⚠️ L’éditeur met en garde contre une vulnérabilité pouvant être exploitée pour de l’exécution de code à distance (RCE), avec des attaques ciblant des serveurs vulnérables.
Alerte sécurité : vulnérabilité critique MongoDB (CVE-2025-14847)
MongoDB a publié une alerte de sécurité urgente concernant une vulnérabilité de gravité élevée pouvant être exploitée pour des attaques de Remote Code Execution (RCE) sur des serveurs vulnérables.
Détails de la vulnérabilité
- Identifiant : CVE-2025-14847
- Type : Exécution de code à distance (RCE)
- Vecteur d’attaque : Non authentifié, faible complexité, aucune interaction utilisateur requise
- Cause : Mauvaise gestion d’une incohérence de paramètres de longueur dans l’implémentation zlib côté serveur
- Impact :
- Exécution de code arbitraire
- Fuite de mémoire (heap non initialisé)
- Prise de contrôle potentielle du serveur MongoDB
Selon MongoDB :
“A client-side exploit of the Server’s zlib implementation can return uninitialized heap memory without authenticating to the server.”
Versions affectées
Les versions suivantes sont vulnérables :
- MongoDB 8.2.0 à 8.2.3
- MongoDB 8.0.0 à 8.0.16
- MongoDB 7.0.0 à 7.0.26
- MongoDB 6.0.0 à 6.0.26
- MongoDB 5.0.0 à 5.0.31
- MongoDB 4.4.0 à 4.4.29
- Toutes les versions MongoDB Server 4.2
- Toutes les versions MongoDB Server 4.0
- Toutes les versions MongoDB Server 3.6
Versions corrigées (à déployer immédiatement)
MongoDB recommande une mise à jour immédiate vers l’une des versions suivantes :
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30
Mesures de mitigation temporaires
Si une mise à jour immédiate n’est pas possible, MongoDB recommande de désactiver la compression zlib :
- Lancer
mongodoumongosavec :networkMessageCompressors- ou
net.compression.compressors
- ⚠️ Omettre explicitement
zlibde la configuration
Contexte et risques
MongoDB est un SGBD NoSQL largement utilisé, avec plus de 62 500 clients dans le monde, y compris de nombreuses entreprises du Fortune 500.
Une exploitation active de ce type de vulnérabilité pourrait avoir des conséquences majeures, notamment dans des environnements exposés à Internet.
À titre de rappel, la CISA a déjà classé par le passé une vulnérabilité MongoDB RCE (CVE-2019-10758) comme activement exploitée, imposant des mesures correctives urgentes aux agences fédérales américaines.
Recommandations
- 🔴 Mettre à jour immédiatement les serveurs MongoDB vulnérables
- 🔐 Restreindre l’exposition réseau des services MongoDB
- 📊 Surveiller les logs pour détecter toute activité anormale
- 🧪 Tester la désactivation temporaire de
zlibsi la mise à jour est retardée
Conclusion
CVE-2025-14847 représente un risque critique pour les environnements MongoDB exposés. Une action rapide est indispensable pour éviter des compromissions à grande échelle.
Type d’article: alerte de sécurité visant principalement à informer et à accélérer le déploiement de correctifs face à un risque d’exploitation RCE.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/