Selon BleepingComputer, MongoDB a émis une alerte pressant les administrateurs IT d’appliquer sans délai les correctifs pour une vulnérabilité classée à haute gravité.

⚠️ L’éditeur met en garde contre une vulnérabilité de lecture de mémoire de gravité élevée, qui pourrait être exploitée à distance par des attaquants non authentifiés.

Alerte sécurité : vulnérabilité critique MongoDB (CVE-2025-14847)

Détails de la vulnérabilité

  • Identifiant : CVE-2025-14847
  • Vecteur d’attaque : Non authentifié, faible complexité, aucune interaction utilisateur requise
  • Cause : Mauvaise gestion d’une incohérence de paramètres de longueur dans l’implémentation zlib côté serveur
  • Impact :
    • Exécution de code arbitraire
    • Fuite de mémoire (heap non initialisé)
    • Prise de contrôle potentielle du serveur MongoDB

Selon MongoDB :

“A client-side exploit of the Server’s zlib implementation can return uninitialized heap memory without authenticating to the server.”

Versions affectées

Les versions suivantes sont vulnérables :

  • MongoDB 8.2.0 à 8.2.3
  • MongoDB 8.0.0 à 8.0.16
  • MongoDB 7.0.0 à 7.0.26
  • MongoDB 6.0.0 à 6.0.26
  • MongoDB 5.0.0 à 5.0.31
  • MongoDB 4.4.0 à 4.4.29
  • Toutes les versions MongoDB Server 4.2
  • Toutes les versions MongoDB Server 4.0
  • Toutes les versions MongoDB Server 3.6

Versions corrigées (à déployer immédiatement)

MongoDB recommande une mise à jour immédiate vers l’une des versions suivantes :

  • 8.2.3
  • 8.0.17
  • 7.0.28
  • 6.0.27
  • 5.0.32
  • 4.4.30

Mesures de mitigation temporaires

Si une mise à jour immédiate n’est pas possible, MongoDB recommande de désactiver la compression zlib :

  • Lancer mongod ou mongos avec :
    • networkMessageCompressors
    • ou net.compression.compressors
  • ⚠️ Omettre explicitement zlib de la configuration

Contexte et risques

MongoDB est un SGBD NoSQL largement utilisé, avec plus de 62 500 clients dans le monde, y compris de nombreuses entreprises du Fortune 500.
Une exploitation active de ce type de vulnérabilité pourrait avoir des conséquences majeures, notamment dans des environnements exposés à Internet.

À titre de rappel, la CISA a déjà classé par le passé une vulnérabilité MongoDB RCE (CVE-2019-10758) comme activement exploitée, imposant des mesures correctives urgentes aux agences fédérales américaines.

Recommandations

  • 🔴 Mettre à jour immédiatement les serveurs MongoDB vulnérables
  • 🔐 Restreindre l’exposition réseau des services MongoDB
  • 📊 Surveiller les logs pour détecter toute activité anormale
  • 🧪 Tester la désactivation temporaire de zlib si la mise à jour est retardée

Conclusion
CVE-2025-14847 représente un risque critique pour les environnements MongoDB exposés. Une action rapide est indispensable pour éviter des compromissions à grande échelle.

Type d’article: alerte de sécurité visant principalement à informer et à accélérer le déploiement de correctifs face à un risque d’exploitation RCE.

EDIT 27.12: enlevé définition erronée de RCE du titre et du texte en accord avec la correction de l’article original

Update 12/26/25: Article updated to correct that the flaw has not been officially classified as an RCE.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/