Компания MongoDB, поставщик документных баз данных, рекомендовала своим клиентам немедленно обновиться после обнаружения уязвимости, позволяющей неаутентифицированным пользователям читать неинициализированную память кучи.
Уязвимость, обозначенная как CVE-2025-14847, связана с несоответствием полей длины в заголовках протокола, сжатых zlib. Она может позволить злоумышленнику выполнить произвольный код и потенциально захватить контроль над устройством.
Уязвимость затрагивает следующие версии MongoDB и MongoDB Server:
- MongoDB 8.2.0 – 8.2.3
- MongoDB 8.0.0 – 8.0.16
- MongoDB 7.0.0 – 7.0.26
- MongoDB 6.0.0 – 6.0.26
- MongoDB 5.0.0 – 5.0.31
- MongoDB 4.4.0 – 4.4.29
- Все версии MongoDB Server v4.2
- Все версии MongoDB Server v4.0
- Все версии MongoDB Server v3.6
В своем официальном уведомлении MongoDB “настоятельно рекомендовала” пользователям немедленно обновиться до исправленных версий программного обеспечения: MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.
Однако, как было сказано, “если вы не можете обновиться немедленно, отключите сжатие zlib на MongoDB Server, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors, который явно исключает zlib.”
MongoDB, одна из самых популярных NoSQL документных баз данных для разработчиков, заявляет, что в настоящее время у нее более 62 000 клиентов по всему миру, включая 70% компаний из списка Fortune 100.
Эта статья первоначально появилась на InfoWorld.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
7/8
Автор – Lynn Greiner
