TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > DB: MongoDB > High-severity MongoDB flaw CVE-2025-14847 could lead to server takeover

High-severity MongoDB flaw CVE-2025-14847 could lead to server takeover

DB: MongoDB CVE-2025-14847 / MongoBleed (MongoDB)

【要点】

◎MongoDBは、認証不要で任意コード実行が可能な深刻度の高い脆弱性CVE-2025-14847を修正した。影響範囲は広く、管理者に対し即時アップグレードまたはzlib無効化を強く推奨している。 (Security Affairs)


【訳】

深刻度の高いMongoDBの脆弱性CVE-2025-14847によりサーバー乗っ取りの可能性がある


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/12/19 2025/12/17 CVE-2025-14847 NVD MongoDB
7.5(MongoDB)
 CWE-130 レングスパラメーターの不整合による不適切な処理 2025/12/29 MongoDB


【要約】

MongoDBは、CVSSスコア8.7の深刻なRCE脆弱性CVE-2025-14847を修正した。本問題はzlib実装の不備に起因し、認証不要の遠隔攻撃者が任意コードを実行し、サーバーを乗っ取る恐れがある。MongoDB 8.2系から4.4系、さらにServer 3.6~4.2の全バージョンが影響を受ける。修正は複数の最新版で提供されており、即時アップグレードが推奨される。困難な場合はzlib圧縮を無効化する暫定対策が示されている。MongoDBは高い柔軟性と性能から広く利用されており、迅速な対応が重要である。


【ニュース】

◆High-severity MongoDB flaw CVE-2025-14847 could lead to server takeover (Security Affairs, 2025/12/25)
[深刻度の高いMongoDBの脆弱性CVE-2025-14847によりサーバー乗っ取りの可能性がある]
https://securityaffairs.com/186107/security/high-severity-mongodb-flaw-cve-2025-14847-could-lead-to-server-takeover.html


【関連まとめ記事】

全体まとめ
 ◆データベースの脆弱性 (まとめ)

◆MongoDB (まとめ)
https://vul.hatenadiary.com/entry/MongoDB

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022