Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression
2025/12/24 gbhackers — MongoDB が公表したのは、CVE-2025-14847 として追跡されている深刻なセキュリティ脆弱性である。この脆弱性を悪用する未認証の攻撃者は、データベース・サーバの初期化されていないヒープメモリを抽出できる可能性がある。これは、サーバに実装されている zlib 圧縮処理に関連する、クライアントからのリクエスト処理の欠陥に起因する。この脆弱性が影響を及ぼす範囲は、MongoDB v3.6 以降の広範なバージョンに及ぶという。
脆弱性 CVE-2025-14847 の概要
ネットワーク・メッセージの圧縮に使用される、zlib 圧縮メカニズムの欠陥を悪用する攻撃者が、サーバ・メモリから機密情報を取得できるという問題が生じている。特に問題となるのは、MongoDB Server への認証を必要としない攻撃者が、エクスプロイトを実行できるため、悪用の障壁が極めて低いという点にある。
この脆弱性の対象となるのは、MongoDB デプロイメントのバージョン 8.2.0~8.2.2/8.0.0~8.0.16/7.0.0~7.0.26/6.0.0~6.0.26/5.0.0~5.0.31/4.4.0~4.4.29 を含む、それぞれのエディションである。さらに、MongoDB Server バージョン 4.2/4.0/3.6 の全インスタンスも影響を受ける。
この攻撃により露出するヒープ・メモリには、認証情報/クエリデータなどの機密データベース・コンテンツが含まれる可能性がある。この深刻なリスクと、認証が不要な悪用シナリオを考慮し、管理者はパッチ適用を最優先で実施する必要がある。
すでに MongoDB は、修正済みのバージョン 8.2.3/8.0.17/7.0.28/6.0.27/5.0.32/4.4.30 をリリースしており、それらのバージョンへの速やかなアップグレードを強く推奨している。迅速なパッチ適用が不可能な組織は、MongoDB Server における zlib 圧縮の無効化を、回避策として実施できる。具体的には、mongod または mongos の起動時に、”networkMessageCompressors”/”net.compression.compressors” 設定オプションで zlib を明示的に除外する。安全な代替圧縮値としては “snappy,zstd” および “disabled” が推奨される。
MongoDB Server から機密情報が漏洩する恐れのある、深刻な脆弱性が見つかりました。この問題の原因は、ネットワーク通信のデータを圧縮/解凍する、サーバの “zlib” という仕組みにあります。攻撃者が特別に細工したリクエストを送信すると、サーバ内の初期化されていないメモリ領域 (ヒープ・メモリ) の内容が漏洩する恐れがあります。この攻撃において認証は不要であるため、データベース内の大切な情報や認証用データが外部に流出するリスクがあります。すでに対策済みのバージョンが公開されていますので、早めのアップデートをご検討ください。よろしければ、MongoDB での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.