Résumé
Le 2 mai 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans MongoDB et MongoDB Server, un système de gestion de base de données.
Référencée sous CVE-2025-14847, cette vulnérabilité permet à un attaquant de lire des données sensibles cachées dans la mémoire du serveur grâce à un bug dans le traitement des données compressées Zlib.
Solutions
Appliquez les correctifs fournis par MongoDB ou suivez les instructions officielles du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 7.5
EPSS : 0.04%
Risques : Lecture de données sensibles en mémoire
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Toutes les versions de MongoDB Server v7.0 antérieures à la version 7.0.28,
- MongoDB Server v8.0 antérieures à la version 8.0.17,
- MongoDB Server v8.2 antérieures à la version 8.2.3,
- MongoDB Server v6.0 antérieures à la version 6.0.27
- MongoDB Server v5.0 antérieures à la version 5.0.32
- MongoDB Server v4.4 antérieures à la version 4.4.30
- MongoDB Server v4.2 supérieures ou égales à la version 4.2.0,
- MongoDB Server v4.0 supérieures ou égales à la version 4.0.0
- MongoDB Server v3.6 supérieures ou égales à la version 3.6.0.
Documentation
- Bulletin de sécurité de MongoDB :
https://jira.mongodb.org/browse/SERVER-115508
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-14847
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-14847/
- CWE :
https://www.cvedetails.com/cwe-details/130/Improper-Handling-of-Length-Parameter-Inconsistency.html