Vulnerabilità di sicurezza in MongoDB
La società MongoDB ha annunciato una vulnerabilità di sicurezza di alta gravità che potrebbe consentire agli utenti non autenticati di leggere la memoria del heap non inizializzata. La vulnerabilità, identificata come CVE-2025-14847, è stata descritta come un caso di gestione impropria della lunghezza dei parametri, che si verifica quando un programma non gestisce correttamente scenari in cui un campo di lunghezza è incoerente con la lunghezza effettiva dei dati associati.
Versioni interessate e soluzione
La vulnerabilità colpisce le seguenti versioni del database: MongoDB 8.2.0-8.2.3, 8.0.0-8.0.16, 7.0.0-7.0.26, 6.0.0-6.0.26, 5.0.0-5.0.31, 4.4.0-4.4.29, nonché tutte le versioni di MongoDB Server v4.2, v4.0 e v3.6. La società consiglia di aggiornare immediatamente alle versioni corrette, ovvero MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30.
Raccomandazioni per la mitigazione
Se l’aggiornamento immediato non è possibile, si consiglia di disabilitare la compressione zlib sul server MongoDB avviando mongod o mongos con un’opzione networkMessageCompressors o net.compression.compressors che omette esplicitamente zlib. La vulnerabilità CVE-2025-14847 consente a un attaccante remoto non autenticato di attivare una condizione in cui il server MongoDB può restituire memoria non inizializzata dal suo heap, il che potrebbe risultare nella divulgazione di dati sensibili in memoria, inclusa informazioni di stato interne, puntatori o altri dati che potrebbero aiutare un attaccante in ulteriore exploit.
