TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > DB: MongoDB > Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression

Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression

DB: MongoDB ライブラリ: zlib CVE-2025-14847 / MongoBleed (MongoDB)

【要点】

◎MongoDBのzlib圧縮処理に起因する重大脆弱性CVE-2025-14847により、認証不要でヒープメモリから機密データが漏洩する恐れがあり、即時更新が推奨された (gbhackers.)


【訳】

重大なMongoDBの脆弱性、zlib圧縮経由で機密データを漏洩


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/12/19 2025/12/17 CVE-2025-14847 NVD MongoDB
7.5(MongoDB)
 CWE-130 レングスパラメーターの不整合による不適切な処理 2025/12/29 MongoDB


【要約】

MongoDBは、zlib圧縮機能に起因し、未認証の攻撃者がサーバーの未初期化ヒープメモリを取得できる重大脆弱性CVE-2025-14847を公表した。本脆弱性は広範なMongoDBバージョンに影響し、認証情報やクエリ内容など機密データ漏洩の危険性がある。恒久対策は修正済みバージョンへの即時アップグレードであり、対応できない場合はzlib圧縮を無効化する暫定策が示されている。悪用の難易度が低いため、管理者は優先的な対処が求められている。


【ニュース】

◆Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression (gbhackers., 2025/12/24)
[重大なMongoDBの脆弱性、zlib圧縮経由で機密データを漏洩]
https://gbhackers.com/critical-mongodb-flaw-leaks-sensitive-data-through-zlib-compression/


【関連まとめ記事】

全体まとめ
 ◆データベースの脆弱性 (まとめ)

◆MongoDB (まとめ)
https://vul.hatenadiary.com/entry/MongoDB

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022