TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > CVE-2025-14847 / MongoBleed (MongoDB) > Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

CVE-2025-14847 / MongoBleed (MongoDB) *Exploit Code / PoC DB: MongoDB 技術: NoSQL

【要点】

◎MongoDBの重大脆弱性「MongoBleed」(CVE-2025-14847)で、認証不要にメモリ内容を漏洩させるPoCエクスプロイトが公開され、緊急対応が求められている。 (Cyber Security News)


【訳】

MongoDBの脆弱性「Mongobleed」を悪用するPoCエクスプロイトツールが公開、機密データを暴露


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/12/19 2025/12/17 CVE-2025-14847 NVD MongoDB
7.5(MongoDB)
 CWE-130 レングスパラメーターの不整合による不適切な処理 2025/12/29 MongoDB


【要約】

MongoDBのzlib解凍処理に起因する重大なメモリリーク脆弱性「MongoBleed」(CVE-2025-14847)について、機密データを遠隔で漏洩させるPoCエクスプロイトツールが公開された。細工した圧縮メッセージにより、MongoDBは過大なバッファを割り当て、未初期化メモリをBSONとして処理してしまう。これにより認証情報や内部ログ、システム統計などが断片的に取得可能となる。複数の主要バージョンが影響を受け、修正版はすでに提供済みだ。公開PoCにより悪用リスクが急増しており、MongoDBの即時アップデートや認証不要アクセスの遮断が強く求められている。


【ニュース】

◆Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data (Cyber Security News, 2025/12/27)
[MongoDBの脆弱性「Mongobleed」を悪用するPoCエクスプロイトツールが公開、機密データを暴露]
https://cybersecuritynews.com/mongobleed-poc-exploit-mongodb/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022