Обнаружена критическая уязвимость (CVE-2025-14847) в MongoDB, которая позволяет удаленно выполнить произвольный код на серверах без авторизации. Уязвимость затрагивает версии:
- MongoDB 8.2.0 — 8.2.3;
- MongoDB 8.0.0 — 8.0.16;
- MongoDB 7.0.0 — 7.0.26;
- MongoDB 6.0.0 — 6.0.26;
- MongoDB 5.0.0 — 5.0.31;
- MongoDB 4.4.0 — 4.4.29;
- все версии MongoDB Server 4.2;
- все версии MongoDB Server 4.0;
- все версии MongoDB Server 3.6.
Уязвимость связана с некорректной обработкой расхождений в параметре длины в реализации zlib. Атакующий может использовать это, чтобы получить доступ к неинициализированной памяти в хипе, выполнить произвольный код и захватить контроль над сервером. Для эксплуатации не требуется аутентификация или взаимодействие с пользователем.
Чтобы защититься, необходимо обновить MongoDB до одной из исправленных версий: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30.
Если немедленное обновление невозможно, отключите сжатие zlib, запустив mongod или mongos с параметрами networkMessageCompressors или net.compression.compressors.
