- شناسه CVE-2025-10491 :CVE
- CWE-284 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 15, 2025
- به روز شده: سپتامبر 15, 2025
- امتیاز: 7.8
- نوع حمله: DLL Hijacking
- اثر گذاری: Code Execution
- حوزه: پایگاههای داده
- برند: MongoDB Inc
- محصول: MongoDB Server
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در نصب کننده MSI سرور MongoDB روی ویندوز نسخههای 6.0 قبل از 6.0.25، 7.0 قبل از 7.0.21 و 8.0 قبل از 8.0.5، ناشی از عدم تنظیم لیستهای کنترل دسترسی (ACLs) در دایرکتوریهای نصب سفارشی است که امکان حمله DLL Hijacking را فراهم میکند. این ضعف به مهاجمان لوکال اجازه میدهد کد اجرایی مخرب را به فرآیند MongoDB تزریق کرده و منجر به اجرای کد دلخواه شود.
توضیحات
آسیبپذیری CVE-2025-10491 در نصب کننده MSI سرور MongoDB روی سیستمعامل ویندوز ناشی از عدم تنظیم صحیح لیستهای کنترل دسترسی (ACLs) برای دایرکتوریهای نصب سفارشی است که مطابق با CWE-284 طبقهبندی میشود. این ضعف امنیتی به کاربران لوکال با دسترسی پایین اجازه میدهد از طریق تکنیک DLL Hijacking کد مخرب را در مسیر اجرای فرآیند MongoDB تزریق کنند.
این آسیبپذیری زمانی رخ میدهد که دایرکتوری نصب سفارشی MongoDB فاقد ACLهای محدودکننده باشدکه امکان قرار دادن کتابخانههای دینامیکی مخرب (DLL) توسط کاربران لوکال را فراهم میکند. در صورت بارگذاری DLL مخرب توسط فرآیند MongoDB، مهاجم میتواند کد دلخواه را اجرا کند. این حمله به صورت لوکال با پیچیدگی پایین و بدون نیاز به تعامل کاربر قابل بهرهبرداری است.
پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به دادههای حساس پایگاه داده، یکپارچگی با تغییر پیکربندی یا دادههای MongoDB و در دسترسپذیری با ایجاد اختلال در عملکرد سرور است. در سناریوهای خاص این ضعف میتواند منجر به کنترل کامل سرور یا سرقت دادهها شود. MongoDB این ضعف را در نسخههای 6.0.25، 7.0.21 و 8.0.5 با تنظیم صحیح ACLها در دایرکتوریهای نصب سفارشی پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 6.0 before 6.0.25
affected from 7.0 before 7.0.21 affected from 8.0 before 8.0.5 |
Windows | MongoDB Server |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 6.0.25, 7.0.21, 8.0.5 and later | Windows | MongoDB Server |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که MongoDB Server پلتفرم ویندوز را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 58 | MongoDB Server for Windows |
نتیجه گیری
آسیبپذیری در نصب کننده MSI سرور MongoDB روی ویندوز، به دلیل امکان DLL Hijacking ناشی از عدم تنظیم ACLها است و تهدیدی جدی برای امنیت سرورهای پایگاه داده ایجاد میکند. بنابراین برای کاهش ریسک و جلوگیری از بهرهبرداری، اقدامات زیر توصیه میشود:
- بهروزرسانی فوری: سرور MongoDB را به نسخههای 6.0.25، 7.0.21 یا 8.0.5 یا بالاتر بهروزرسانی کنید تا ACLهای دایرکتوریهای نصب سفارشی به درستی اعمال شوند.
- تنظیم دستی ACLها: در صورت استفاده از دایرکتوریهای سفارشی، اطمینان حاصل کنید که ACLها به گونهای تنظیم شوند که فقط کاربران مجاز مانند ادمین ها به دایرکتوریهای نصب دسترسی داشته باشند.
- محدودسازی دسترسی کاربران لوکال: دسترسی کاربران لوکال به سرور را محدود کنید و از سیاستهای امنیتی ویندوز مانند کنترل حساب کاربری (User Account Control) برای کاهش ریسک استفاده کنید.
- نظارت بر فرآیندها: فرآیندهای MongoDB را برای بارگذاری DLLهای مشکوک یا غیرمجاز بررسی کنید و از ابزارهای امنیتی مانند Windows Defender یا EDR بهره ببرید.
- استفاده از دایرکتوریهای پیشفرض: از دایرکتوریهای نصب پیشفرض MongoDB به جای دایرکتوریهای سفارشی استفاده کنید تا ریسک تنظیمات نادرست ACL کاهش یابد.
- آموزش و آگاهی: مدیران سرور را در مورد ریسک DLL Hijacking و اهمیت بهروزرسانی نرمافزار آگاه کنید.
اجرای این اقدامات، ریسک بهرهبرداری از این آسیبپذیری را به حداقل رسانده و امنیت سرورهای MongoDB را در محیطهای ویندوزی تقویت میکند. این آسیبپذیری بر اهمیت تنظیم دقیق دسترسیها و بهروزرسانی منظم نرمافزار در سیستمهای حساس مانند پایگاههای داده تأکید دارد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
فرد مهاجم نیازمند دسترسی لوکال (حساب کاربری با امتیازات پایین) یا توانایی نوشتن در دایرکتوری نصب سفارشی است؛ عدم تنظیم ACLها اجازه میدهد کاربر لوکال فایلهای دلخواه از جمله DLL مخرب را در مسیر نصب قرار دهد و نقطه ورود فراهم گردد.
Execution (TA0002)
پس از قرار گرفتن DLL مخرب در دایرکتوریِ قابل نوشتن، فرآیند MongoDB یا سرویس مرتبط هنگام بارگذاری وابستگیها، DLL مخرب را لود کرده و کد دلخواه مهاجم در کانتکست فرآیند اجرا میشود
Persistence (TA0003)
مهاجم میتواند DLL یا فایلهای باینری ماندگار در مسیر نصب قرار دهد تا پس از ریبوت یا راهاندازی مجدد سرویس، کد مخرب مجدداً اجرا شود و دسترسی پایدار حفظ شود.
Privilege Escalation (TA0004)
فرآیند MongoDB غالباً با مجوزهای سرویس system یا حساب سرویسِ با سطح بالا اجرا میشود؛ اجرای کد در زمینه این فرآیند معمولاً منجر به ارتقای سطح دسترسی مهاجم به سطح سیستم/سرور میشود.
Credential Access (TA0006)
با اجرای کد در فرآیند دیتابیس، مهاجم میتواند فایلهای پیکربندی، فایلهای دیتابیس، یا سایر دادههای حساس روی دیسک را بخواند و اعتبارنامهها یا کلیدهای اتصال به DB را استخراج کند.
Defense Evasion (TA0005)
کد مخرب میتواند لاگها را پاک یا تغییر دهد، مکانیزمهای آنتیویروس/EDR را دور بزند یا فرآیندهای نظارتی محلی را غیر فعال کند تا شناسایی را دشوار سازد.
Lateral Movement (TA0008)
پس از تصاحب سرور MongoDB، مهاجم میتواند از دادهها یا اعتبارنامههای بهدستآمده برای حرکت جانبی در شبکه استفاده کند و سایر سرویسها/سرورهای سازمان را هدف قرار دهد.
Collection (TA0009)
مهاجم میتواند دادههای حساس پایگاهداده، تنظیمات، دادههای تجاری را جمعآوری و ذخیره کند تا بعدها استخراج یا سوءاستفاده شود.
Exfiltration (TA0010)
دادههای جمعآوریشده را میتوان از طریق کانالهای شبکهای به خارج منتقل کرد (مثلاً به سرور کنترل و فرمان مهاجم) یا از طریق کانالهای پنهان دیگر خارج ساخت.
Impact (TA0040)
پیامدها شامل اجرای کد از راه محلی (RCE)، نقض محرمانگی، دسترسی و سرقت دادهها، نقض یکپارچگی (تغییر دادهها یا پیکربندی)، و کاهش دسترسپذیری (خرابی سرویس یا حذف دادهها) است
منابع
