Поделиться
Во всех актуальных версиях популярной СУБД MongoDB обнаружена «дыра». Срочно требуются обновления
«Баг» связан с реализацией алгоритма сжатия сетевого трафика и при худшем сценарии грозит запуском произвольного кода или извлечением конфиденциальных данных. Разработчики уже выложили патчи.
С пометкой «неотложно»
Разработчики популярной системы управления базами данных MongoDB заявили о существовании в своих продуктах высокоопасной уязвимости, которая может привести к запуску произвольного кода на серверном уровне.
«Баг», отслеживаемый как CVE-2025-14847, затрагивает множественные версии MongoDB и MongoDB Server. Потенциальные злоумышленники могут эксплуатировать их с минимальными усилиями, без аутентификации и без какого-либо участия пользователя.
CVE-2025-14847 вызвана некорректной обработкой параметра длины ввода.
«Если злоумышленник получает возможность манипулировать параметром длины входных данных, так, чтобы его показатель не соответствовал фактической длине ввода, тем самым он может вызвать неожиданное, в том числе, вредоносное поведение у целевого приложения. Один из возможных мотивов для этого - передача в приложение больших входных данных произвольной величины. Другой возможный мотив - попытка изменения состояния приложения путем включения недопустимых данных для последующих процедур приложения. Такие уязвимости обычно открывают возможности для атак с переполнением буфера и выполнением произвольного кода», - говорится в описании.
Уязвимости затрагивают следующие MongoDB версий 8.2.0 - 8.2.3, 8.0.0 - 8.0.16, MongoDB 7.0.0 - 7.0.26, 6.0.0 - 6.0.26, 5.0.0 - 5.0.31 и 4.4.0 - 4.4.29.
Затронуты также все подверсии MongoDB Server v3.6, 4.0 и 4.2.
Обновления до версий 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30, соответственно, уязвимость устраняют. Остаются, правда, неясным вопрос с версией 8.2.3: в бюллетене MongoDB она указана и в числе уязвимых, и в числе исправленных.
Тривиальная эксплуатация, обширные последствия
В бюллетене упомянуто также, что эксплуатация проблемы, непосредственно присутствующего в алгоритме сжатия zlib в MongoDB Server, на стороне клиента «может привести к возврату неинициализированной памяти кучи без аутентификации на сервере».
Отключение сжатия в zlib в серверных версиях MongoDB - один из рекомендуемых способов промежуточной ремедиации, который следует использовать, если накат обновлений по какой-то причине невозможен.
«Протокол сжатия zlib в MongoDB может использоваться для экономии сетевого трафика между клиентом и сервером, - отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Проблема в том, что при использовании MongoDB в облачных средах она нередко остаётся открытой для всех, так что эксплуатация этого «бага» в сетевом протоколе может вызвать довольно масштабные и неприятные последствия. Помимо выполнения произвольного кода эту уязвимость можно использовать для выуживания данных, не предназначающихся для чужих глаз, в том числе, фрагментов запросов и сведений о внутреннем состоянии сервера».
Как пишет издание BleepingComputer, MongoDB - популярная нереляционная система управления базами данных, которая, в отличие от, например, PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
У этой СУБД более чем 62 500 клиентов по всему миру, включая десятки компаний из списка Fortune 500.
Поделиться
Короткая ссылка
