Разработчики MongoDB предупредили о серьезной RCE-уязвимости

[Article Publisher]

Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем.

Проблема получила идентификатор CVE-2025-14847 и затрагивает множество версий MongoDB и MongoDB Server:

• MongoDB 8.2.0 — 8.2.3;
• MongoDB 8.0.0 — 8.0.16;
• MongoDB 7.0.0 — 7.0.26;
• MongoDB 6.0.0 — 6.0.26;
• MongoDB 5.0.0 — 5.0.31;
• MongoDB 4.4.0 — 4.4.29;
• все версии MongoDB Server 4.2;
• все версии MongoDB Server 4.0;
• все версии MongoDB Server 3.6.

Уязвимость связана с некорректной обработкой расхождений в параметре длины (Improper Handling of Length Parameter Inconsistency), что позволяет атакующим выполнять произвольный код и потенциально захватывать контроль над целевыми серверами.

Для исправления уязвимости и предотвращения атак разработчики настоятельно рекомендуют как можно скорее обновиться до версий 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.

«Эксплуатируя реализацию zlib на сервере, атакующий может получить неинициализированную память из хипа без авторизации. Мы настоятельно рекомендуем как можно скорее обновиться до исправленной версии», — предупредила команда безопасности MongoDB.

Разработчики добавляют, что если немедленная установка патчей невозможна, следует отключить сжатие zlib в MongoDB Server, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors.