MongoDB предупреждает администраторов о необходимости немедленного патча серьезной уязвимости RCE

[PRES1DENT]

MongoDB предупредила ИТ-администраторов о необходимости немедленно установить патч для устранения уязвимости высокой степени опасности, которая может быть использована в атаках удаленного выполнения кода (RCE), направленных на уязвимые серверы.

Эта уязвимость, отслеживаемая под номером CVE-2025-14847, затрагивает несколько версий MongoDB и MongoDB Server и может быть использована неавторизованными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем.

CVE-2025-14847 связана с некорректной обработкой несоответствия параметров длины, что может позволить злоумышленникам выполнять произвольный код и потенциально получить контроль над целевыми устройствами.

Чтобы исправить уязвимость и заблокировать потенциальные атаки, администраторам рекомендуется немедленно обновить систему до версии MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.

Уязвимость затрагивает следующие версии MongoDB:

MongoDB 8.2.0–8.2.3
MongoDB 8.0.0–8.0.16
MongoDB 7.0.0–7.0.26
MongoDB 6.0.0–6.0.26
MongoDB 5.0.0–5.0.31
MongoDB 4.4.0–4.4.29
Все версии MongoDB Server v4.2
Все версии MongoDB Server v4.0
Все версии MongoDB Server v3.6

"Клиентский эксплойт реализации zlib на сервере может получить неинициализированную память без аутентификации на сервере. Мы настоятельно рекомендуем как можно скорее обновить систему до исправленной версии," — заявила команда безопасности MongoDB в пятничном сообщении.

"Мы настоятельно рекомендуем вам немедленно обновить версию. Если вы не можете обновить версию немедленно, отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib."

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) четыре года назад добавило еще одну уязвимость MongoDB RCE (CVE-2019-10758) в свой каталог известных уязвимостей, пометив ее как активно используемую и обязав федеральные агентства обеспечить безопасность своих систем в соответствии с обязательной оперативной директивой (BOD) 22-01.

MongoDB — популярная нереляционная система управления базами данных (СУБД), которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON) вместо таблиц.

Это программное обеспечение для баз данных используется более чем 62 500 клиентами по всему миру, включая десятки компаний из списка Fortune 500.

[GhostHaker]

Интересно, есть делали?

Код: Выделить всё

This article is factually incorrect. This is so upsettingI had to signup to point it out.

1) CVE-2025-14847 is "Zlib compressed protocol header length confusion may allow memory read". I can't find any mention of exploiting this to get RCE. If you are sure, please provide direct link to the source explicitly stating that this vulnerability could be used for RCE

2) CVE-2019-10758 is RCE in 3rd party application "mongo-express", not MongoDB

Как говорит https://github.com/madler , а он говорит так почти всегда: This is not an issue in zlib.

[PRES1DENT]

Интересно, есть делали?

Код: Выделить всё

This article is factually incorrect. This is so upsettingI had to signup to point it out.

1) CVE-2025-14847 is "Zlib compressed protocol header length confusion may allow memory read". I can't find any mention of exploiting this to get RCE. If you are sure, please provide direct link to the source explicitly stating that this vulnerability could be used for RCE

2) CVE-2019-10758 is RCE in 3rd party application "mongo-express", not MongoDB

Как говорит https://github.com/madler , а он говорит так почти всегда: This is not an issue in zlib.

Пока не видел, увижу - опубликую.

[httpstop]

Если это утечка неинициализированной памяти, то RCE в теории там может быть разве что косвенно, как в Heartbleed, например. Т.е. утекают какие-то креды, которые позволяют подключиться удаленно к хосту или типа того.

[GhostHaker]

Если это утечка неинициализированной памяти, то RCE в теории там может быть разве что косвенно, как в Heartbleed, например. Т.е. утекают какие-то креды, которые позволяют подключиться удаленно к хосту или типа того.

Не сам zlib, а то как им пользуются. Меня диф порадовал и одновременно удивил.

Код: Выделить всё

diff --color -r Downloads/mongo/mongo-r8.2.2/src/mongo/transport/message_compressor_zlib.cpp Downloads/mongo/mongo-r8.2.3/src/mongo/transport/message_compressor_zlib.cpp
83c83 - сам компрессор:
<     return {output.length()};
---
>     return {length};

Да махнули объект на строку, и вроде как должно помочь (с утечкой памяти), но вопрос где там мог быть RCE,
пытаюсь найти цепочку.
и второй интресный фикс, выглядит как подарок: message_compressor_manager_test.cpp добавленн чек по всей видимости
проверяющий корректность фикса: message_compressor_manager_test.cpp

[PRES1DENT]

Детали:
https://github.com/Hamid-K/mongobleed