MongoDB a averti les administrateurs informatiques de corriger immédiatement une vulnérabilité de gravité élevée qui peut être exploitée dans des attaques d’exécution de code à distance (RCE) ciblant des serveurs vulnérables.
Répertoriée sous le numéro CVE-2025-14847, cette faille de sécurité affecte plusieurs versions de MongoDB et de serveur MongoDB et peut être exploitée par des acteurs de la menace non authentifiés dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
CVE-2025-14847 est dû à une mauvaise gestion de l’incohérence des paramètres de longueur, ce qui peut permettre aux attaquants d’exécuter du code arbitraire et potentiellement de prendre le contrôle des périphériques ciblés.
Pour corriger la faille de sécurité et bloquer les attaques potentielles, il est conseillé aux administrateurs de passer immédiatement à MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, ou 4.4.30.
La vulnérabilité affecte les versions MongoDB suivantes:
- MongoDB versions 8.2.0 à 8.2.3
- MongoDB 8.0.0 à 8.0.16
- MongoDB 7.0.0 à 7.0.26
- MongoDB de 6.0.0 à 6.0.26
- MongoDB de 5.0.0 à 5.0.31
- MongoDB 4.4.0 à 4.4.29
- Tous les serveurs MongoDB v4. 2 versions
- Tous les serveurs MongoDB v4. 0 versions
- Tous les serveurs MongoDB v3. 6 versions
« Un exploit côté client de l’implémentation zlib du serveur peut renvoyer de la mémoire de tas non initialisée sans s’authentifier auprès du serveur. Nous recommandons fortement de passer à une version corrigée dès que possible », a déclaré l’équipe de sécurité de MongoDB dans un avis vendredi.
« Nous vous suggérons fortement de mettre à niveau immédiatement. Si vous ne pouvez pas mettre à niveau immédiatement, désactivez la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec un compresseur de messages réseau ou un réseau.compression.option compresseurs qui omet explicitement zlib. »
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une autre faille MongoDB RCE (CVE-2019-10758) à son catalogue de vulnérabilités exploitées connues il y a quatre ans, la qualifiant d’exploitée activement et ordonnant aux agences fédérales de sécuriser leurs systèmes, comme mandaté par Directive opérationnelle contraignante (BOD) 22-01.
MongoDB est un système de gestion de base de données (SGBD) non relationnel populaire qui, contrairement aux bases de données relationnelles telles que PostgreSQL et MySQL, stocke les données dans des documents BSON (JSON binaire) au lieu de tables.
Le logiciel de base de données est utilisé par plus de 62 500 clients dans le monde entier, dont des dizaines d’entreprises Fortune 500.