Onionproject.org

Эта уязвимость, отслеживаемая под номером CVE-2025-14847, затрагивает несколько версий MongoDB и MongoDB Server и может быть использована неавторизованными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем.

CVE-2025-14847 связана с некорректной обработкой несоответствия параметров длины, что может позволить злоумышленникам выполнять произвольный код и потенциально получить контроль над целевыми устройствами.

Чтобы исправить уязвимость и заблокировать потенциальные атаки, администраторам рекомендуется немедленно обновить систему до версии MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.

Уязвимость затрагивает следующие версии MongoDB:

MongoDB 8.2.0–8.2.3
MongoDB 8.0.0–8.0.16
MongoDB 7.0.0–7.0.26
MongoDB 6.0.0–6.0.26
MongoDB 5.0.0–5.0.31
MongoDB 4.4.0–4.4.29
Все версии MongoDB Server v4.2
Все версии MongoDB Server v4.0
Все версии MongoDB Server v3.6

"Клиентский эксплойт реализации zlib на сервере может получить неинициализированную память без аутентификации на сервере. Мы настоятельно рекомендуем как можно скорее обновить систему до исправленной версии," — заявила команда безопасности MongoDB в пятничном сообщении.

"Мы настоятельно рекомендуем вам немедленно обновить версию. Если вы не можете обновить версию немедленно, отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib."

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) четыре года назад добавило еще одну уязвимость MongoDB RCE (CVE-2019-10758) в свой каталог известных уязвимостей, пометив ее как активно используемую и обязав федеральные агентства обеспечить безопасность своих систем в соответствии с обязательной оперативной директивой (BOD) 22-01.

MongoDB — популярная нереляционная система управления базами данных (СУБД), которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON) вместо таблиц.

Это программное обеспечение для баз данных используется более чем 62 500 клиентами по всему миру, включая десятки компаний из списка Fortune 500.

Интересно, есть делали?
Как говорит https://github.com/madler , а он говорит так почти всегда: This is not an issue in zlib.

GhostHaker писал(а): Интересно, есть делали?

Код: Выделить всё

This article is factually incorrect. This is so upsettingI had to signup to point it out.

1) CVE-2025-14847 is "Zlib compressed protocol header length confusion may allow memory read". I can't find any mention of exploiting this to get RCE. If you are sure, please provide direct link to the source explicitly stating that this vulnerability could be used for RCE

2) CVE-2019-10758 is RCE in 3rd party application "mongo-express", not MongoDB

Как говорит https://github.com/madler , а он говорит так почти всегда: This is not an issue in zlib.

Пока не видел, увижу - опубликую.

Если это утечка неинициализированной памяти, то RCE в теории там может быть разве что косвенно, как в Heartbleed, например. Т.е. утекают какие-то креды, которые позволяют подключиться удаленно к хосту или типа того.

httpstop писал(а): Если это утечка неинициализированной памяти, то RCE в теории там может быть разве что косвенно, как в Heartbleed, например. Т.е. утекают какие-то креды, которые позволяют подключиться удаленно к хосту или типа того.

Не сам zlib, а то как им пользуются. Меня диф порадовал и одновременно удивил. Да махнули объект на строку, и вроде как должно помочь (с утечкой памяти), но вопрос где там мог быть RCE,
пытаюсь найти цепочку.
и второй интресный фикс, выглядит как подарок: message_compressor_manager_test.cpp добавленн чек по всей видимости
проверяющий корректность фикса: message_compressor_manager_test.cpp

Детали:
https://github.com/Hamid-K/mongobleed