【要点】
◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/12/19 | 2025/12/17 | CVE-2025-14847 | NVD | MongoDB | 7.5(MongoDB) |
CWE-130 | レングスパラメーターの不整合による不適切な処理 | 2025/12/29 | MongoDB |
【概要】
| 項目 |
内容 |
|---|---|
| CVE番号 | CVE-2025-14847 |
| CVE登録日 | 2025/12/17 |
| CVE公開日 | 2025/12/19 |
| NVD | CVE-2025-14847 Detail |
| ベンダー | MongoDB |
| 対象ソフトウェア | MongoDB Server |
| CVSS v4.0 | 8.7 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N) |
| CVSS v3.1 | 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CWE | 130 Improper Handling of Length Parameter Inconsistency レングスパラメーターの不整合による不適切な処理 |
| PoC | 存在 |
| KEV登録日 | 2025/12/29 |
| KEV対応期限日 | 2026/01/19 |
【要約】
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、MongoDB Serverの脆弱性CVE-2025-14847が悪用されているとして注意喚起を行った。同脆弱性はzlib圧縮プロトコルヘッダの処理不備に起因し、認証不要でリモートから未初期化のヒープメモリを読み取られる恐れがある。悪用された場合、認証情報やトークン、APIキー、シークレット、データベース内データなどの重要情報が漏洩する可能性がある。CVSSv4.0で8.7、v3.1で7.5と高リスク評価を受け、PoCも公開済みであることから、CISAは行政機関に期限内の是正対応を求めるとともに、一般利用者にも迅速な対策を強く促している。
【ニュース】
◆米当局、「MongoDB」脆弱性の悪用に注意喚起 (Security NEXT, 2026/01/05)
https://www.security-next.com/179210
