MongoBleed
A CVE-2025-14847 egy súlyos, hitelesítés nélkül kiaknázható memóriaszivárgási hiba a MongoDB-ben, amely a zlib tömörítés hibás kezeléséből ered. A sérülékenység lehetővé teszi, hogy hitelesítés nélkül, hálózati szinten támadóknak kiszivárogtassanak érzékeny adatokat a szerver memóriájából. A sebezhetőség lényege, hogy a zlib tömörített üzenetek hossza és a valóságos adathossz közötti eltérés miatt a szerver hibásan kezelheti a memóriaterületeket, és nem inicializált memóriatartalmat küldhet vissza a támadónak. Ez a hiba a MongoDB 2017 óta megjelent legtöbb verzióját érinti, és különösen veszélyes, mert a támadáshoz nem szükséges belépni a rendszerbe.
A MongoBleed név a híres HeartBleed sebezhetőségre utal, mivel hasonlóan lehetővé teszi a memóriatartalom kiszivárogtatását. A hiba kiaknázásával a támadók potenciálisan hozzáférhetnek érzékeny adatokhoz, például jelszavakhoz, titkos kulcsokhoz, vagy akár a rendszeren tárolt egyéb bizalmas információkhoz. A MongoDB már kiadott javított verziókat, és sürgősen ajánlja a frissítést minden érintett rendszerhez. Ha azonnali frissítés nem lehetséges, a MongoDB ajánlja a zlib tömörítés letiltását a szerveren, bár ez teljesítményt csökkenthet, de csökkenti a támadási felületet.
A biztonsági szakértők szerint a sebezhetőség kiaknázására már készültek proof-of-concept (PoC) eszközök, és a vadonban is megfigyelték a támadási kísérleteket. A Wiz Security adatai szerint a felhőben futó MongoDB példányok 42%-a sebezhető a CVE-2025-14847-re, ami jelentős kockázatot jelent a vállalatok számára. A MongoDB Atlas felhőszolgáltatás felhasználói automatikusan kapták a javítást, de a saját környezetben üzemeltetett MongoDB-szervereket manuálisan kell frissíteni.
