In MongoDB wurde eine hochriskante Sicherheitslücke entdeckt, die es einem nicht authentifizierten Benutzer ermöglichen könnte, nicht initialisierten Heap-Speicher zu lesen.
Die Schwachstelle wird unter der Bezeichnung CVE-2025-14847 (CVSS-Score: 8.7) geführt und als ein Fall von falscher Behandlung von Inkonsistenzen bei Längenparametern beschrieben, der auftritt, wenn ein Programm den Fall nicht richtig behandelt, dass das Längenfeld nicht mit der tatsächlichen Länge der zugehörigen Daten übereinstimmt.
Nach der Beschreibung des Fehlers auf CVE.org, "Eine Fehlanpassung in der Länge Feld in der Zlib-Komprimierung Protokoll-Header könnte ein nicht authentifizierter Client zu lesen uninitialisierten Heap-Speicher.
Die Schwachstelle betrifft die folgenden Datenbankversionen -
MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29
Alle MongoDB Server v4.2-Versionen
Alle MongoDB Server v4.0-Versionen
Alle MongoDB Server v3.6-Versionen
Dieses Problem wurde in den MongoDB-Versionen 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 behoben.
