شناسه CVE-2025-14847 :CVE
CWE-130 :CWE
yes :Advisory
منتشر شده: دسامبر 19, 2025
به روز شده: دسامبر 19, 2025
امتیاز: 7.5
نوع حمله: Heap Memory Read

اثر گذاری: Information Disclosure
حوزه: پایگاه‌های داده
برند: MongoDB Inc
محصول: MongoDB Server
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در MongoDB Server ناشی از مدیریت نادرست طول فیلدها در هدرهای پروتکل فشرده‌سازی‌شده با Zlib است. این ضعف امنیتی به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد تا از راه دور بخشی از حافظه هیپ مقداردهی‌نشده (Uninitialized Heap Memory) سرور را خوانده و اطلاعات حساس را افشا کنند.

توضیحات

آسیب‌پذیری CVE-2025-14847 ناشی از مدیریت نادرست ناسازگاری فیلدهای طول (Length Fields) در هدر پیام‌های فشرده‌سازی‌شده با الگوریتم Zlib مطابق باCWE-130 است. Zlib کتابخانه‌ای پرکاربرد برای فشرده‌سازی داده‌ها با هدف کاهش حجم ترافیک شبکه محسوب می‌شود. . این ضعف در لایه پروتکل ارتباطی MongoDB Server رخ می‌دهد؛ جایی که پیام‌های شبکه‌ای فشرده‌شده پیش از پردازش منطقی، فشرده‌زدایی (Decompression) می‌شوند.

در سناریوی آسیب‌پذیر، یک کلاینت بدون احراز هویت می‌تواند پیامی فشرده‌شده ارسال کند که در آن مقدار طول داده بدون فشرده‌سازی (Uncompressed Size) به‌صورت غیرواقعی و بسیار بزرگ‌تر از داده واقعی اعلام شده است. سرور MongoDB با اعتماد به این مقدار اعلام‌شده، یک بافر بزرگ در حافظه هیپ تخصیص می‌دهد. پس از انجام فرآیند فشرده‌زدایی توسط Zlib، داده واقعی تنها در ابتدای بافر کپی و ذخیره می‌شود، اما به دلیل وجود ضعف منطقی در اعتبارسنجی طول واقعی داده، سرور به‌اشتباه کل بافر تخصیص‌یافته، شامل بخش‌های مقداردهی‌نشده حافظه را به‌عنوان داده معتبر در نظر می‌گیرد.

در مرحله بعد، هنگام پردازش اسناد BSON (فرمت باینری مورد استفاده MongoDB برای ذخیره و تبادل داده)، موتور پردازش MongoDB تلاش می‌کند نام فیلدها را از محتوای این بافر استخراج کند. این فرآیند باعث می‌شود داده‌ها از بخش‌های مقداردهی‌نشده حافظه هیپ تا رسیدن به بایت NULL خوانده شوند. در نتیجه، بخش‌هایی از حافظه داخلی سرور افشا می‌شود که می‌تواند شامل اطلاعات حساس نظیر لاگ‌های داخلی MongoDB، وضعیت و پیکربندی موتور ذخیره‌سازی WiredTiger، داده‌های سیستمی موجود در مسیر ‎/proc‎ (از جمله اطلاعات حافظه و شبکه)، مسیرهای فایل در محیط‌های کانتینری Docker، شناسه‌های یکتای اتصال (Connection UUIDs) و حتی آدرس‌های IP کلاینت‌ها باشد.

این ضعف قابل خودکارسازی و بهره‌برداری است؛ مهاجم می‌تواند از راه دور، تنها با دسترسی شبکه‌ای به پورت پیش‌فرض MongoDB (27017) و بدون نیاز به احراز هویت یا تعامل کاربر، درخواست‌های دستکاری‌شده متعددی ارسال کرده و به‌صورت تدریجی بخش‌های مختلف حافظه هیپ سرور را استخراج کند. کد اثبات مفهومی (PoC) این آسیب‌پذیری به‌صورت عمومی منتشر شده است که نشان می‌دهد مهاجم چگونه می‌تواند با ارسال پیام‌های BSON دستکاری‌شده و مقادیر طول غیرواقعی در فرآیند فشرده‌زدایی با Zlib، سرور MongoDB را وادار به خواندن داده‌های خارج از محدوده معتبر کند. این فرآیند منجر به خواندن حافظه هیپ مقداردهی‌نشده و استخراج اطلاعات حساس از حافظه سرور می‌شود. وجود این کد اثبات مفهومی، امکان بهره‌برداری عملی و خودکار از آسیب‌پذیری را به‌طور قابل‌توجهی افزایش می‌دهد. MongoDB این ضعف را با اعمال اصلاحات امنیتی در نسخه‌های جدید و بهبود منطق مدیریت بافرها در دسامبر 2025 به‌طور کامل پچ کرده است.

CVSS

Score	Severity	Version	Vector String
8.7	HIGH	4.0	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
7.5	HIGH	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

لیست محصولات آسیب پذیر

Versions

Product

affected from 8.2 before 8.2.3

affected from 8.0 before 8.0.17

affected from 7.0 before 7.0.28

affected from 6.0 before 6.0.27

affected from 5.0 before 5.0.32

affected from 4.4 before 4.4.30

affected at 4.2

affected at 4.0

affected at 3.6

MongoDB Server

لیست محصولات بروز شده

Versions	Product
4.4.30, 5.0.32, 6.0.27, 8.2.3, 8.0.17, 7.0.28	MongoDB Server

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که MongoDB را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
211,000	site:.ir “MongoDB”	MongoDB

نتیجه گیری

این آسیب‌پذیری با شدت بالا، به دلیل امکان بهره‌برداری از راه دور و بدون نیاز به احراز هویت، منجر به افشای اطلاعات حساس از حافظه سرور می‌شود. با توجه به انتشار عمومی PoC و ارائه پچ رسمی از سوی MongoDB، اجرای اقدامات زیر برای جلوگیری از سوءاستفاده و کاهش سطح ریسک ضروری است:

به‌روزرسانی فوری: تمامی نمونه‌های آسیب‌پذیر MongoDB Server را در اسرع وقت به نسخه‌های 2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32 یا 4.4.30 به‌روزرسانی کنید. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
غیرفعال کردن فشرده‌سازی Zlib (راهکار موقت): در صورت عدم امکان به‌روزرسانی فوری، توصیه می‌شود فشرده‌سازی Zlib را در پیکربندی سرور غیرفعال کنید. برای این منظور می‌توان گزینه‌های networkMessageCompressors یا compression.compressors را به مقادیری مانند snappy، zstd یا disabled تنظیم کرد. این اقدام سطح حمله مرتبط با پردازش پیام‌های فشرده‌شده را به‌طور محسوسی کاهش می‌دهد.
محدودسازی دسترسی شبکه: دسترسی به پورت MongoDB (به‌صورت پیش‌فرض 27017) باید صرفاً به شبکه‌های داخلی و آدرس‌های IP مورد اعتماد محدود شود. همچنین، استفاده از فایروال، شبکه‌های خصوصی مجازی (VPN) یا شبکه‌های خصوصی ابری (VPC) ضروری است تا از قرار گرفتن سرویس MongoDB در معرض دسترسی آزاد اینترنت و اتصال مستقیم کاربران ناشناس جلوگیری شود.
مانیتورینگ و تشخیص: از سیستم‌های تشخیص نفوذ (IDS) و راهکارهای تشخیص و پاسخ در سطح شبکه (NDR) برای شناسایی ترافیک غیرعادی حاوی هدرهای Zlib دستکاری‌شده استفاده کنید. همچنین لاگ‌های اتصالات MongoDB را به‌طور منظم بررسی نمایید.
اصل حداقل دسترسی و امنیت محیط های کانتینری: در محیط‌های کانتینری مانند Docker یا Kubernetes، سیاست اصل حداقل دسترسی را برای سرویس‌های MongoDB اعمال کنید و اطمینان حاصل نمایید که دسترسی‌های غیرضروری حذف شده و داده‌های حساس در حافظه یا لاگ‌ها باقی نمی‌مانند.

اجرای سریع به‌روزرسانی همراه با محدودسازی دسترسی شبکه، ریسک ناشی از این آسیب‌پذیری را به طور قابل توجهی کاهش داده و سطح امنیت کلی زیرساخت‌های مبتنی بر MongoDB را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
در یک سناریوی کلی، مهاجم می‌تواند با ارسال پیام‌های فشرده‌شده حاوی هدرهای zlib دست‌کاری‌شده به سرویس MongoDB در پورت پایگاه‌داده، بدون نیاز به احراز هویت و تعامل کاربر، ارتباط کلاینت به ظاهر عادی برقرار کرده و در چارچوب ترافیک معمول برنامه به سامانه نزدیک شود؛ این نوع استفاده از ضعف تنها زمانی امکان‌پذیر است که نمونه‌های MongoDB نسخه‌های آسیب‌پذیر را در معرض شبکه (به‌ویژه اینترنت یا سگمنت‌های کم‌اعتماد) قرار داده باشند، هیچ‌گونه احراز هویت اجباری روی ارتباطات فعال نباشد، تنظیمات شبکه مانند فایروال، لیست‌های کنترل دسترسی یا تونل‌های امن، سطح دسترسی به پورت پایگاه‌داده را محدود نکرده باشند و سیاست‌های سخت‌گیرانه در خصوص جداسازی سرویس‌های دیتابیس از ترافیک عمومی رعایت نشده باشد.

Discovery / Collection (TA0009 / TA0007)
به صورت عمومی، این آسیب‌پذیری که ناشی از مدیریت نادرست طول فیلدها در هدرهای فشرده‌شده پروتکل است، به مهاجم اجازه می‌دهد با ساخت درخواست‌های متوالی و مغایر با طول واقعی داده، بخش‌هایی از حافظه heap را بدون داشتن هیچ سطح دسترسی و صرفاً از راه شبکه بخواند و از این طریق، در خلال اجرای حمله به تدریج به اطلاعاتی نظیر قطعات داده، ساختارهای حافظه، توکن‌ها یا بخش‌هایی از داده‌های حساس موجود در پروسه دست یابد؛ تحقق چنین سناریویی مستلزم آن است که نسخه‌های آسیب‌پذیر MongoDB بدون وصله، در محیط‌های عملیاتی حساس در حال استفاده باشند، رمزنگاری لایه انتقال و مکانیزم‌های محافظت در برابر ناهنجاری پروتکل به‌خوبی پیاده‌سازی نشده باشند، محدودیت شدیدی بر نرخ درخواست‌ها یا الگوهای غیرعادی در گیت‌وی‌ها و WAF اعمال نشود و همچنین لاگ‌برداری سطح پروتکل و تحلیل رفتاری ترافیک برای تشخیص درخواست‌های با طول‌های غیرمنطقی یا الگوهای آزمون حافظه فعال نباشد.

Credential Access (TA0006)
در یک رویکرد کلی، مهاجم می‌تواند از قابلیت خواندن حافظه اولیه استفاده کرده و با تکرار درخواست‌های ساخته‌شده، به دنبال قطعات حافظه‌ای بگردد که احتمالاً حاوی داده‌های شبه‌اعتباری نظیر توکن‌های نشست، رشته‌های متنی ارتباطی، بخش‌هایی از تنظیمات در حافظه، یا سایر پارامترهایی باشند که در مراحل بعدی حمله به‌عنوان سرنخ برای دستیابی به مکانیزم‌های احراز هویت یا راه‌اندازی حملات پیچیده‌تر مورد سوءاستفاده قرار گیرد؛ امکان تحقق چنین هدفی زمانی واقعی‌تر می‌شود که فرآیند MongoDB در حال پردازش درخواست‌های حساس باشد و داده‌های مهم به‌طور مکرر در حافظه در دسترس باقی بمانند، استفاده از رمزنگاری انتها‌به‌انتها برای مقادیر حساس در درون برنامه به‌درستی انجام نشده باشد، زمان نگه‌داری داده‌های سری در حافظه طولانی باشد و هیچ راهکار مانیتورینگ پیشرفته‌ای جهت شناسایی دسترسی‌های غیرعادی یا نشت داده در سطح برنامه و پایگاه‌داده پیاده نشده باشد.

Exfiltration (TA0010)
به شکل انتزاعی، مهاجم قادر است پس از یافتن الگوهای مفید در داده‌های نشت‌یافته از heap، از همین کانال ارتباطی پایگاه‌داده برای ادامه استخراج تدریجی حجم بیشتری از اطلاعات حساس استفاده کند و با گسترش حمله، داده‌های به‌دست‌آمده را در قالب پاسخ‌های ظاهراً عادی به بیرون منتقل نماید، به‌طوری که روند خروج اطلاعات در قالب ترافیک مشروع خواندن از پایگاه‌داده یا تبادل پیام‌های فشرده‌شده پنهان باشد؛ چنین بهره‌برداری مستلزم آن است که کنترل‌های خروجی شبکه (egress filtering) محدودکننده نباشند، نظارت متمرکز بر ترافیک دیتابیس و تحلیل الگوی حجم و نوع پاسخ‌ها صورت نگیرد، مکانیزم‌های تشخیص نشت داده (DLP) برای ترافیک برنامه‌ای فعال نباشند و تیم عملیات امنیتی، هشدارهای مبتنی بر انحراف در رفتار عادی پایگاه‌داده یا افزایش غیرمعمول حجم پاسخ‌های شامل داده‌های حساس را به صورت هوشمندانه پایش نکند.

Impact (TA0040)
در صورت استفاده عملیاتی از این ضعف و نشت پیوسته داده از حافظه فرآیند MongoDB بدون نیاز به احراز هویت، پیامدها از منظر سازمان می‌تواند شامل افشای خاموش و تدریجی اطلاعات حیاتی ذخیره یا پردازش‌شده در پایگاه‌داده، از جمله داده‌های شخصی، رکوردهای تجاری، بخش‌هایی از کلیدها یا توکن‌های امنیتی و هرگونه اطلاعات حساس دیگری باشد که در لحظه در حافظه حضور دارد؛ این وضعیت، بدون آنکه لزوماً یک اختلال مستقیم در دسترس‌پذیری یا دستکاری آگاهانه یکپارچگی داده‌ها ایجاد کند، محرمانگی را در سطحی گسترده و دشوار برای ردیابی تهدید می‌کند و می‌تواند زمینه‌ساز حملات ثانویه مانند جعل هویت، سوءاستفاده از توکن‌ها، تحلیل مهندسی معکوس داده‌های نشت‌یافته و در نهایت، آسیب اعتباری و حقوقی شدید برای سازمان شود، به‌ویژه اگر سامانه‌های پایگاه‌داده هدف در مرکز معماری داده و سرویس‌های حیاتی سازمان قرار گرفته باشند و برای مدت طولانی بدون وصله و بدون کنترل‌های نظارتی کافی در معرض شبکه باقی مانده باشند.

منابع

گزارش اثبات آسیب‌پذیری CVE-2025-14847

اطلاعات آسیب‌پذیری

عنوان: اختلال در تفسیر طول هدر پروتکل فشرده‌ Zlib در سرور MongoDB که می‌تواند منجر به خواندن غیرمجاز حافظه شود
شناسه: CVE-2025-14847
وضعیت مشاوره : Advisory / Patch Available

نمره CVSS تقریبی :

CVSS v3.1: 7.5 (High)
CVSS v4.0: 8.7 (High)

محصول / نسخه‌های آسیب‌پذیر : MongoDB Server

در نسخه‌های زیر (پیش از اعمال وصله امنیتی):
◦ 2 قبل از 8.2.3
◦ 0 قبل از 8.0.17
◦ 0 قبل از 7.0.28
◦ 0 قبل از 6.0.27
◦ 0 قبل از 5.0.32
◦ 4 قبل از 4.4.30
◦ نسخه‌های قدیمی‌تر 2، 4.0 و 3.6
محیط‌های درگیر
◦ سرورهای پایگاه‌داده MongoDB در محیط‌های On-Premise، Cloud و Container .
◦ سامانه‌هایی که سرویس MongoDB آن‌ها از طریق پورت پیش‌فرض 27017 در دسترس شبکه‌های عمومی، اینترنت یا سگمنت‌های با سطح اعتماد پایین قرار گرفته است.
◦ محیط‌هایی که در لایه ارتباطی MongoDB از مکانیزم فشرده‌سازی داده مبتنی بر Zlib استفاده می‌شود.

کامپوننت‌های آسیب‌پذیر:

پروتکل ارتباطی داخلی MongoDB (MongoDB Wire Protocol) .
منطق پردازش و فشرده‌زدایی پیام‌های شبکه‌ای مبتنی بر الگوریتم Zlib .
سازوکار تخصیص، مدیریت و استفاده از بافرهای حافظه در ناحیه Heap .
موتور تحلیل و پردازش اسناد BSON مورد استفاده در MongoDB .

ریشه مشکل (Root Cause Analysis)

ریشه اصلی آسیب‌پذیری CVE-2025-14847 به یک نقص منطقی و اعتبارسنجی (Logic & Validation Flaw) در لایه پروتکل ارتباطی MongoDB بازمی‌گردد. در این لایه، فیلدهای طول (Length Fields) موجود در هدر پیام‌های فشرده‌شده با Zlib به‌درستی با طول واقعی داده پس از فرآیند Decompression تطبیق داده نمی‌شوند.

به‌طور مشخص اتفاقات زیر روی می دهد:

سرور MongoDB به مقدار طول اعلام‌شده در هدر پیام اعتماد می‌کند.
بر اساس این مقدار، حافظه‌ای در Heap تخصیص می‌دهد.
پس از فشرده‌زدایی، تنها بخشی از این بافر با داده واقعی پر می‌شود.
اما سیستم کل بافر تخصیص‌یافته (شامل بخش‌های مقداردهی‌نشده) را معتبر تلقی می‌کند.

این رفتار نشان‌دهنده عدم رعایت اصل Fail-Closed و ضعف در Cross-Validation طول داده‌ها است.

بخش آسیب‌پذیر

رفتار نا امن سیستم:

سیستم پیام‌های فشرده‌شده Zlib را بدون تطبیق دقیق طول واقعی داده با مقادیر اعلام‌شده در هدر پردازش می‌کند و از حافظه Heap که مقداردهی‌نشده است, داده می‌خواند.

نحوه سوءاستفاده مهاجم:

مهاجم بدون نیاز به احراز هویت فعالیت های زیر را انجام می دهد:

ز طریق شبکه با MongoDB ارتباط برقرار می‌کند؛
پیام BSON فشرده‌شده با طول‌های جعلی به سمت MongoDB ارسال می‌نماید؛
سرور را وادار به تخصیص بافر بزرگ می‌کند؛
داده‌های حساس باقی‌مانده در حافظه Heap را استخراج می‌کند.

نقش این آسیب‌پذیری در زنجیره حمله

این ضعف می‌تواند نقش تسهیل‌کننده در مراحل شناسایی، جمع‌آوری داده، سرقت اطلاعات و حتی آماده‌سازی حملات پیشرفته‌تر را ایفا کند.

پیش‌نیازهای بهره‌برداری (Prerequisites)

برای بهره‌برداری موفق معمولاً موارد زیر مورد نیاز است:

دسترسی شبکه‌ای به سرویس MongoDB .
استفاده از نسخه‌های آسیب‌پذیر بدون وصله .
فعال بودن یا پشتیبانی از Zlib Compression .
عدم اعمال محدودیت‌های شبکه‌ای و مانیتورینگ مؤثر .

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

در طراحی امن انتظار می‌رود موارد زیر مد نظر قرار گیرد:

طول داده قبل و بعد از Decompression به‌طور کامل Cross-Validate شود؛
داده‌های ناسازگار در مراحل اولیه رد شوند؛
هرگونه دسترسی به حافظه مقداردهی‌نشده به‌صورت کامل مسدود گردد؛
پردازش پیام‌های پروتکل در حالت خطا، Fail-Closed باشد.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک

MongoDB Server به نسخه‌های وصله‌شده رسمی به‌روزرسانی فوری شود.
از دسترسی مستقیم اینترنت به پورت MongoDB جلوگیری شود.
پیکربندی مناسب فایروال و محدودسازی IP های مجاز صورت گیرد.

اقدامات کوتاه‌مدت / میان‌مدت

در صورت عدم نیاز عملیاتی Zlib Compression غیرفعال شود.
TLS فعال شده و احراز هویت اجباری شود.
پایش لاگ‌ها و ترافیک غیرعادی پروتکل انجام شود.

اقدامات بلندمدت

سرویس‌های دیتابیس از شبکه عمومی به‌صورت کامل جداسازی شود.
IDS/NDR برای تحلیل رفتار پروتکل استقرار یابد.
معماری امنیتی پایگاه‌های داده حساس بازبینی شود.

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های بالقوه تلاش برای سوءاستفاده شامل موارد زیر می باشد:

پیام‌های فشرده با طول‌های غیرمنطقی
خطاهای غیرعادی در Decompression
افزایش غیرعادی حجم پاسخ‌ها

پیشنهاد می شود موارد زیر به عنوان منابع مانیتورینگ مورد پایش قرار گیرند:

لاگ‌های MongoDB
تحلیل ترافیک شبکه
از IDS/IPS و سیستم‌های DLP استفاده شود.

واکنش به حادثه (Incident Response)

اقدامات اضطراری که در صورت مشاهده نشانه‌های بهره‌برداری باید اتخاذ شود:

سرور MongoDB فوراً ایزوله شود.
لاگ‌ها و ترافیک شبکه جمع‌آوری شود.
احتمال افشای داده بررسی شود.
وصله و بازبینی تنظیمات امنیتی اعمالشود.
ارزیابی اثرات ثانویه و اطلاع‌رسانی سازمانی صورت گیرد.

جریان حمله (Attack Flow)

در شکل ۱ جریان کلی بهره‌برداری از این آسیب‌پذیری نشان داده شده است. در این سناریو، مهاجم با دسترسی به سرویس MongoDB و ارسال پیام‌های BSON فشرده‌شده با الگوریتم Zlib که دارای مقادیر طول دستکاری‌شده در هدر هستند، سرور را وادار به پردازش نادرست داده می‌کند. به دلیل نقص منطقی در اعتبارسنجی طول واقعی داده پس از فرآیند فشرده‌زدایی، یک بافر بزرگ در حافظه Heap تخصیص داده می‌شود که تنها بخشی از آن مقداردهی شده است. در ادامه، هنگام پردازش ساختار BSON، موتور MongoDB داده‌ها را از این بافر تا رسیدن به بایت NULL می‌خواند که منجر به دسترسی ناخواسته به بخش‌های مقداردهی‌نشده حافظه و در نهایت افشای اطلاعات داخلی سرور می‌شود. این فرآیند می‌تواند به‌صورت تکرارشونده اجرا شده و موجب نشت تدریجی اطلاعات حساس از حافظه فرآیند پایگاه‌داده گردد.

شکل 1: نمودار جریان حمله

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte این آسیب‌پذیری را در محیط ایزوله بررسی کرده است. این اثبات مفهوم این آسیب‌پذیری شامل موارد زیر است:

صرفاً توصیفی و آموزشی است.
شامل کد Exploitواقعی نمی‌باشد.

تصویر ارائه‌شد در شکل ۲ نشان‌دهنده اثبات مفهوم (PoC) و اجرای موفقیت‌آمیز این آسیب‌پذیری در آزمایشگاه Vulnerbyte می باشد.

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع (References)

MongoDB Server

CVE-2025-14847 – Uninitialized Heap Memory Disclosure via Zlib Compressed Protocol Headers

Affects

MongoDB Server
Affected versions:
- v7.0 prior to 7.0.28
- v8.0 prior to 8.0.17
- v8.2 prior to 8.2.3
- v6.0 prior to 6.0.27
- v5.0 prior to 5.0.32
- v4.4 prior to 4.4.30
- v4.2 versions ≥ 4.2.0
- v4.0 versions ≥ 4.0.0
- v3.6 versions ≥ 3.6.0
Deployments where:
- MongoDB accepts client connections over the network,
- Zlib-compressed MongoDB wire protocol is enabled or supported.

Description

CVE-2025-14847 is an information disclosure vulnerability in MongoDB Server caused by mismatched length fields in Zlib-compressed protocol headers.

Due to improper validation of length metadata during decompression and message handling, MongoDB may read uninitialized heap memory when processing specially crafted compressed protocol messages. An unauthenticated remote client can trigger this condition by sending malformed requests that exploit inconsistencies between declared and actual compressed payload lengths.

This can result in:

unintended disclosure of heap memory contents,
exposure of sensitive data fragments,
potential leakage of internal state information.

While the vulnerability does not allow code execution or direct modification of data, it weakens confidentiality guarantees and may aid further attacks.

Attack Vector

Primary Attack Vector:
Remote / Network-based

Attack Scenario:

An unauthenticated client establishes a network connection to a MongoDB Server instance.
The client sends a malformed MongoDB wire protocol message using Zlib compression.
The message contains inconsistent or mismatched length fields in the compressed header.
MongoDB processes the message without sufficiently validating the declared lengths.
The server may read and return uninitialized heap memory as part of the response or internal processing.

Key Characteristics:

No authentication required.
No user interaction required.
Exploitation occurs during protocol-level message parsing.
Impact is limited to information disclosure, not code execution.

Conditions Increasing Risk:

MongoDB instances exposed to untrusted networks.
Publicly accessible database endpoints.
Use of compression features without strict network controls.

Observed Exploitation & Threat Activity

As of disclosure, there are no confirmed reports of widespread in-the-wild exploitation.
The vulnerability was identified through protocol and memory safety analysis.
Similar protocol parsing flaws have historically been leveraged for reconnaissance, memory disclosure, and attack chaining.

Severity & Metrics

CVSS v3.1: Moderate (typically 5.3 – 6.5, depending on deployment exposure)
Attack Vector: Network
Privileges Required: None
User Interaction: None
Impact:
- Confidentiality: Low to Medium
- Integrity: None
- Availability: None

Relevant CWE:

CWE-908 – Use of Uninitialized Resource
CWE-119 – Improper Restriction of Operations within the Bounds of a Memory Buffer

Patch & Vendor Status

MongoDB has released fixes addressing CVE-2025-14847 in the following versions:
- 7.0.28
- 8.0.17
- 8.2.3
- 6.0.27
- 5.0.32
- 4.4.30

The fix ensures proper validation of compressed protocol headers and prevents access to uninitialized heap memory.

Users are strongly advised to upgrade to a patched version.

Mitigation & Remediation

Immediate Actions

Upgrade MongoDB Server to a fixed version appropriate for your release branch.
Restrict network exposure of MongoDB instances using:
- firewalls,
- private network segmentation,
- IP allowlists.

Temporary Compensating Controls

Disable or limit access to MongoDB compression features where feasible.
Ensure MongoDB is not exposed directly to the Internet.
Monitor network traffic for malformed or unexpected protocol behavior.

These controls reduce risk but do not fully eliminate the vulnerability.

Detection & Hunting

Indicators of Potential Exploitation:

Unexpected protocol parsing errors.
Abnormal client requests using compressed messages.
Unusual or malformed wire protocol traffic.

Recommended Monitoring:

Network inspection for MongoDB wire protocol anomalies.
MongoDB server logs for decompression or message handling errors.
IDS/IPS rules detecting malformed compressed payloads.

Post-Incident Response

If suspicious activity is detected:

Isolate the affected MongoDB instance.
Capture network traffic and server logs.
Review for unauthorized data exposure.
Apply the appropriate patch.
Rotate credentials if sensitive data exposure is suspected.

Summary Table

Category	Details
Vulnerability	Uninitialized heap memory disclosure
Component	Zlib-compressed MongoDB wire protocol
Attack Vector	Remote, unauthenticated network client
Impact	Information disclosure
Affected Versions	MongoDB 3.6 – 8.2 (pre-patch)
Fixed Versions	See Patch & Vendor Status
Severity	Moderate

References

MongoDB Security Advisory – CVE-2025-14847
NVD – CVE-2025-14847
CWE-908: Use of Uninitialized Resource

CVE-2025-14847

Zlib compressed protocol header length confusion may allow memory read

MongoDB Server

CVE-2025-14847 – Uninitialized Heap Memory Disclosure via Zlib Compressed Protocol Headers

Affects

Description

Attack Vector

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Temporary Compensating Controls

Detection & Hunting

Post-Incident Response

Summary Table

References

CVE-2025-64678

CVE-2025-68615

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ