Origine : bjCSIRT
Numéro : 2025/ALERTE/030
Date de l’alerte : 03/04/2025
APERÇU :
De multiples vulnérabilités ont été découvertes dans MongoDB, qui permettraient à un acteur malveillant de provoquer un déni de service et un contournement d’authentification.
DESCRIPTION :
MongoDB est un système de gestion de base de données NoSQL orienté documents, conçu pour stocker, gérer et traiter de grandes quantités de données non structurées de manière flexible et évolutive.
Ce système est affecté par plusieurs vulnérabilités libellées comme suit :
CVE-2025-3083 : cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer un crash du processus mongos en envoyant des requêtes spécialement conçues lors de la validation des commandes. Elle est classée élevée avec un score de sévérité de 7.5 selon le CVSS v3.1.
CVE-2025-3084 : cette vulnérabilité résulte d’une mauvaise validation de certains arguments lors de l’utilisation de la commande explain. Un acteur malveillant pourrait exploiter cette faille pour provoquer un crash des instances mongos. Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.8 selon le CVSS v3.1.
CVE-2025-3085 : cette vulnérabilité est due à la non-vérification de l’état de révocation des certificats intermédiaires dans la chaîne de certificats. Un acteur malveillant pourrait utiliser un certificat révoqué pour s’authentifier, compromettant ainsi la sécurité des communications et de l’authentification. L’exploitation de cette vulnérabilité est possible lorsque MongoDB fonctionne sous Linux avec TLS et que la vérification de l’état de révocation des certificats (CRL) est activée. Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1.
IMPACT :
- Compromission de l’intégrité des systèmes et des données ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
- MongoDB versions 5.x antérieures à 5.0.31 ;
- MongoDB versions 6.x antérieures à 6.0.20 ;
- MongoDB versions 7.0.x antérieures à 7.0.16 ;
- MongoDB versions 7.3.x antérieures à 7.3.4 ;
- MongoDB versions 8.x antérieures à 8.0.4.
MESURES À PRENDRE :
Mettre à jour MongoDB vers sa dernière version disponible.
RÉFÉRENCES :
- https://jira.mongodb.org/browse/SERVER-103151
- https://jira.mongodb.org/browse/SERVER-103152
- https://jira.mongodb.org/browse/SERVER-103153
- https://secalerts.co/vulnerability/CVE-2025-3083
- https://www.tenable.com/cve/CVE-2025-3083
- https://www.tenable.com/cve/CVE-2025-3084
- https://www.tenable.com/cve/CVE-2025-3085
