MongoDBに、認証されていないユーザーに初期化されていないヒープメモリーを読み取られる危険性の高いセキュリティ脆弱性が公開された。
この脆弱性は、CVE-2025-14847(CVSSスコア:8.7)として追跡されており、長さパラメータの不一致を誤って処理するケースとして説明されている。
CVE.orgの欠陥の説明によると、"Zlib圧縮プロトコルヘッダの長さフィールドの不一致により、認証されていないクライアントが初期化されていないヒープメモリを読み取る可能性がある"。
この欠陥は以下のデータベース・バージョンに影響する。
MongoDB 8.2.0~8.2.3
MongoDB 8.0.0 ~ 8.0.16
MongoDB 7.0.0 ~ 7.0.26
MongoDB 6.0.0 ~ 6.0.26
MongoDB 5.0.0~5.0.31
MongoDB 4.4.0 ~ 4.4.29
すべてのMongoDBサーバーv4.2バージョン
すべてのMongoDBサーバーv4.0バージョン
すべてのMongoDBサーバーv3.6バージョン
この問題は MongoDB バージョン 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 で解決されました。
