یک نقص امنیتی با شدت بالا در MongoDB افشا شده که به مهاجمان غیرمجاز امکان میدهد بدون احراز هویت، به دادههای ذخیرهشده در حافظه هیپ (Heap) که مقداردهی اولیه نشدهاند دسترسی پیدا کنند.
این آسیبپذیری با شناسه CVE-2025-14847 و امتیاز 8.7 از 10 ثبت شده و ناشی از «مدیریت نادرست ناسازگاری طول داده» (Improper Handling of Length Parameter Inconsistency) است؛ حالتی که در آن طول اعلامشده داده با طول واقعی آن مطابقت ندارد و میتواند باعث خواندن دادههای ناخواسته از حافظه شود.
طبق توضیح منتشرشده در CVE.org، «عدم تطابق فیلدهای طول در هدرهای فشردهسازیشده با Zlib میتواند به یک کلاینت بدون احراز هویت اجازه دهد دادههای مقداردهینشده حافظه هیپ را بخواند.»
این آسیبپذیری نسخههای زیر از MongoDB را تحت تأثیر قرار میدهد:
- MongoDB 8.2.0 تا 8.2.3
- MongoDB 8.0.0 تا 8.0.16
- MongoDB 8.0.0 تا 8.0.16
- MongoDB 6.0.0 تا 6.0.26
- MongoDB 5.0.0 تا 5.0.31
- MongoDB 4.4.0 تا 4.4.29
- تمام نسخههای MongoDB Server 4.2
- تمام نسخههای MongoDB Server 4.0
- تمام نسخههای MongoDB Server 3.6
این مشکل در نسخههای زیر برطرف شده است:
- MongoDB 8.2.3
- MongoDB 8.0.17
- MongoDB 7.0.28
- MongoDB 6.0.27
- MongoDB 5.0.32
- MongoDB 4.4.30
به گفته MongoDB، «یک اکسپلویت سمت کلاینت در پیادهسازی Zlib سرور میتواند بدون احراز هویت، منجر به بازگرداندن دادههای مقداردهینشده از حافظه هیپ شود.» این شرکت بهطور جدی توصیه کرده است که کاربران در سریعترین زمان ممکن نسخههای آسیبپذیر را ارتقا دهند.
در صورتی که امکان بهروزرسانی فوری وجود نداشته باشد، توصیه میشود فشردهسازی Zlib در MongoDB غیرفعال شود. این کار از طریق تنظیم گزینههای networkMessageCompressors یا net.compression.compressors و حذف Zlib از لیست الگوریتمهای فعال قابل انجام است. گزینههای جایگزین پشتیبانیشده شامل snappy و zstd هستند.
شرکت OP Innovate نیز در تحلیل خود اعلام کرده است:«CVE-2025-14847 به یک مهاجم از راه دور و بدون احراز هویت اجازه میدهد شرایطی ایجاد کند که در آن سرور MongoDB بخشی از حافظه مقداردهینشده خود را بازگرداند. این موضوع میتواند منجر به افشای دادههای حساس در حافظه، از جمله اطلاعات داخلی، اشارهگرها و دادههایی شود که امکان سوءاستفادههای بعدی را فراهم میکنند.»