인증되지 않은 사용자가 초기화되지 않은 힙 메모리를 읽을 수 있는 고위험 보안 취약점이 MongoDB에서 발견되었습니다.
이 취약점은 CVE-2025-14847(CVSS 점수: 8.7)로 추적되고 있으며, 프로그램이 길이 필드가 관련 데이터의 실제 길이와 일치하지 않는 경우를 제대로 처리하지 못할 때 발생하는 길이 매개변수 불일치의 잘못된 처리 사례로 설명되어 있습니다.
CVE.org의 결함에 대한 설명에 따르면, “Zlib 압축 프로토콜 헤더의 길이 필드가 일치하지 않으면 인증되지 않은 클라이언트가 초기화되지 않은 힙 메모리를 읽을 수 있습니다.”라고 합니다.
이 결함은 다음 데이터베이스 버전에 영향을 줍니다.
MongoDB 8.2.0 ~ 8.2.3
MongoDB 8.0.0 ~ 8.0.16
MongoDB 7.0.0 ~ 7.0.26
MongoDB 6.0.0 ~ 6.0.26
MongoDB 5.0.0 ~ 5.0.31
MongoDB 4.4.0 ~ 4.4.29
모든 몽고DB 서버 v4.2 버전
모든 몽고DB 서버 v4.0 버전
모든 몽고DB 서버 v3.6 버전
이 문제는 몽고DB 버전 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 및 4.4.30에서 해결되었습니다.
