Ошибка связана с механизмом сжатия передаваемых данных и в наихудшем случае может позволить выполнить произвольные команды или получить доступ к защищённой информации. Для её устранения уже выпущены обновления.
Создатели широко используемой системы управления базами данных MongoDB сообщили о критической уязвимости в своём программном обеспечении, которая способна привести к исполнению произвольного кода на стороне сервера.
Дефект, зарегистрированный как CVE-2025-14847, влияет на множество версий MongoDB и MongoDB Server. Злоумышленники могут воспользоваться им с минимальными затратами, без необходимости авторизации и какого-либо вмешательства со стороны пользователя.
Причина CVE-2025-14847 кроется в некорректной обработке параметра, определяющего длину входных данных.
«Если злоумышленник получает возможность изменять параметр длины входных данных так, что он перестаёт соответствовать их реальному размеру, это может спровоцировать непредсказуемое, в том числе вредоносное, поведение целевого приложения. Одна из возможных целей — передача приложению произвольно больших объёмов данных. Другая — попытка изменить состояние приложения путём внедрения недопустимой информации для последующих его операций. Подобные уязвимости обычно создают почву для атак, связанных с переполнением буфера и выполнением произвольного кода», — поясняется в описании проблемы.
Уязвимость затрагивает MongoDB следующих версий: 8.2.0 - 8.2.3, 8.0.0 - 8.0.16, 7.0.0 - 7.0.26, 6.0.0 - 6.0.26, 5.0.0 - 5.0.31 и 4.4.0 - 4.4.29.
Также затронуты все выпуски MongoDB Server версий 3.6, 4.0 и 4.2.
Проблема устранена в обновлениях до версий 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30 соответственно. Однако ситуация с версией 8.2.3 остаётся неоднозначной: в официальном сообщении MongoDB она указана и как уязвимая, и как исправленная.
В бюллетене также отмечено, что эксплуатация дефекта, непосредственно присутствующего в алгоритме сжатия zlib в MongoDB Server, на клиентской стороне «может привести к возврату неинициализированной памяти кучи без аутентификации на сервере».
Временной мерой защиты, которую рекомендуется применять, если установка обновлений невозможна, является отключение сжатия zlib в серверных версиях MongoDB.
«В MongoDB протокол сжатия zlib способен сократить объём сетевого обмена между клиентом и сервером, — поясняет Дмитрий Пешков, специалист по кибербезопасности из компании SEQ. — Однако в облачных развёртываниях эта функция зачастую оказывается доступной для всех, что позволяет злоумышленникам использовать данную уязвимость сетевого протокола для серьёзных атак. Помимо запуска произвольных команд, через неё можно извлекать конфиденциальные данные, включая фрагменты запросов и информацию о внутренней работе сервера».
Как сообщает BleepingComputer, MongoDB — широко распространённая нереляционная СУБД, которая, в отличие от PostgreSQL или MySQL, хранит информацию в документах BSON (Binary JSON), а не в табличном формате.
Данная система управления базами данных насчитывает свыше 62 500 пользователей по всему миру, в том числе десятки корпораций из рейтинга Fortune 500.
