Origine : bjCSIRT
Numéro : 2025/ALERTE/080
Date de l’alerte : 29/12/2025
APERÇU :
Une vulnérabilité critique affectant MongoDB permettrait à un acteur malveillant d’accéder à des informations sensibles sur les systèmes affectés.
DESCRIPTION :
MongoDB est un système de gestion de base de données NoSQL orienté documents, conçu pour stocker, gérer et traiter de grandes quantités de données non structurées de manière flexible et évolutive.
Ce système est affecté par une vulnérabilité critique libellée CVE-2025-14847 qui résulte d’une incompatibilité de la longueur des champs dans les en-têtes de protocole compressés Zlib. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, de récupérer des informations sensibles du serveur.
Elle est classée élevée avec un score de sévérité de 7.2 selon le CVSS V3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
- Les versions 7.0 de MongoDB antérieures à 7.0.28 ;
- Les versions 8.0 de MongoDB antérieures à 8.0.17 ;
- Les versions 8.2 de MongoDB antérieures à 8.2.3 ;
- Les versions 6.0 de MongoDB antérieures à 6.0.27 ;
- Les versions 5.0 de Mongo DB antérieures à 5.0.32 ;
- Les versions 4.4 de MongoDB antérieures à 4.4.30 ;
- Les versions 4.2 supérieures ou égales à 4.2.0 ;
- Les versions 4.0 supérieures ou égales 4.0.0 ;
- Les versions 3.6 supérieures ou égales à 3.6.0;
MESURES À PRENDRE :
Mettre à jour MongoDB vers l’une des versions suivantes :
- MongoDB v8.0.17 ;
- MongoDB v8.0.17 ;
- MongoDB v7.0.28 ;
- Mongo DB v6.0.27 ;
- MongoDB v5.0.32 ;
- MongoDB v4.4.30.
RÉFÉRENCES :
