TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > DB: MongoDB > 「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を

「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を

DB: MongoDB CVE-2025-14847 / MongoBleed (MongoDB) *Exploit Code / PoC 技術: NoSQL

【要点】

◎MongoDBに認証不要で機密情報が漏洩する脆弱性「MongoBleed」(CVE-2025-14847)が判明し、PoC公開により早急な更新対応が求められている。


【要約】

NoSQLデータベースMongoDBに、zlib圧縮処理の不備により初期化されていないヒープメモリを読み取られる脆弱性「MongoBleed」(CVE-2025-14847)が確認された。認証不要で悪用可能なため、認証情報やAPIキー、トークン、データベース内データなどの重大な機密情報が遠隔から窃取される恐れがある。CVSSでは高評価とされ、Heartbleedを想起させる深刻度と指摘されている。MongoDBは修正版を公開しており、更新が困難な場合はzlib圧縮の無効化が推奨される。PoC公開後、8万台超の脆弱なインスタンスが観測されており、迅速な対策が必要とされている。


【ニュース】

◆「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を (Security NEXT, 2025/12/29)
https://www.security-next.com/179181

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022