Vulnérabilité critique dans MongoDB
.png)
Produits concernés
• MongoDB versions 3.6
• MongoDB versions 4.0
• MongoDB versions 4.2
• MongoDB versions comprises entre 4.4.0 et 4.4.29
• MongoDB versions comprise entre 5.0.0 et 5.0.31
• MongoDB versions comprises entre 6.0.0 et 6.0.26
• MongoDB versions comprises entre 7.0.0 et 7.0.26
• MongoDB versions comprises entre 8.0.0 et 8.0.16
• MongoDB versions 8.2.x antérieures à 8.2.3
Prérequis
• Accès réseau à une instance MongoDB
• Compression zlib activée (configuration par défaut)
Risques
• Exploitation d’informations d’identifications
• Exfiltration de données sensibles
Résumé
Une vulnérabilité critique affectant la solution MongoDB a été publiée par un chercheur en sécurité. Le niveau de criticité est 8.7 (score CVSS 4.0).
- CVE-2025-14847 : Une vulnérabilité dans la bibliothèque Zlib, utilisée par MongoDB, permet à un attaquant non authentifié d’accéder à des espaces mémoires du serveur portant l'application, et ainsi d’extraire des informations sensibles telles que des identifiants ou des clés d'accès.
Ces informations pourraient, par exemple, permettre à l’attaquant d’utiliser ces éléments pour accéder au serveur ou à des bases de données avec des comptes valides.
Un exploit public a déjà été divulgué (voir références), ce qui augmente fortement le risque d’exploitation dans les prochains jours.
Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
Solutions
Mitigation
Il est recommandé de désactiver la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec l’option networkMessageCompressors ou net.compression.compressors qui exclut explicitement zlib.
Remédiation :
Mettre à jour MongoDB
• vers la version 4.4.30, 5.0.32, 6.0.27, 7.0.28, 8.0.17, 8.2.3 ou ultérieure.
Le détail est disponible dans les liens en références.
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
