В MongoDB обнаружена опасная уязвимость, которая может позволить неавторизованному пользователю прочитать неинициализированную память кучи.
Уязвимость отслеживается как CVE-2025-14847 (CVSS score: 8.7) и описывается как случай неправильной обработки несоответствий параметров длины, которая возникает, когда программа не может правильно обработать случай, когда поле длины не совпадает с фактической длиной связанных данных.
Согласно описанию дефекта на CVE.org, "несоответствие в поле длины в заголовке протокола сжатия Zlib может позволить неаутентифицированному клиенту прочитать неинициализированную кучу памяти".
Дефект затрагивает следующие версии баз данных -
MongoDB 8.2.0 - 8.2.3
MongoDB 8.0.0 - 8.0.16
MongoDB 7.0.0 - 7.0.26
MongoDB 6.0.0 - 6.0.26
MongoDB 5.0.0 - 5.0.31
MongoDB 4.4.0 - 4.4.29
Все версии сервера MongoDB v4.2
Все версии сервера MongoDB v4.0
Все версии MongoDB Server v3.6
Эта проблема была решена в версиях MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.
