Kahinaan ng CVE-2025-14847

Isang bagong isiniwalat na kahinaan ng MongoDB ang aktibong sinasamantala sa mga pag-atake sa totoong mundo, na naglalagay sa sampu-sampung libong database instance sa panganib sa buong mundo. Natukoy ng mga mananaliksik sa seguridad ang mahigit 87,000 potensyal na mahinang pag-deploy ng MongoDB, na ginagawa ang isyung ito na isang malaking pag-aalala para sa mga organisasyong umaasa sa MongoDB sa mga kapaligiran ng produksyon.

Pag-unawa sa CVE-2025-14847

Sinusubaybayan bilang CVE-2025-14847 at may rating na 8.7 sa CVSS scale, ang high-severity vulnerability na ito ay pinangalanang MongoBleed. Nagbibigay-daan ito sa mga hindi awtorisadong remote attacker na direktang maglabas ng sensitibong data mula sa memorya ng MongoDB server, nang hindi nangangailangan ng wastong mga kredensyal o pakikipag-ugnayan ng user.

Ang depekto ay maaaring pagsamantalahan bago ang pagpapatunay, na lubhang nagpapataas ng profile ng panganib nito, lalo na para sa mga server ng MongoDB na nakalantad sa internet.

Sanhi: Nagkamali ang zlib Compression

Ang kahinaan ay nagmula sa isang depekto sa zlib-based message decompression logic ng MongoDB Server, partikular na sa loob ng message_compressor_zlib.cpp component. Binibigyang-daan ng MongoDB ang zlib compression bilang default, ibig sabihin maraming deployment ang apektado maliban kung tahasang na-reconfigure.

Sa pamamagitan ng pagpapadala ng mga maling nabuong naka-compress na network packet, maaaring samantalahin ng isang attacker ang hindi wastong paghawak ng mga na-decompress na haba ng data. Sa halip na ibalik ang aktwal na laki ng na-decompress na nilalaman, ibabalik ng apektadong logic ang buong inilaang laki ng buffer. Maaaring ilantad ng pagkakamaling ito ang hindi na-initialize na heap memory, na nagpapahintulot sa mga attacker na makuha ang mga fragment ng katabing sensitibong data.

Ano ang Maaaring Nakawin ng mga Umaatake

Ang matagumpay na pagsasamantala ay maaaring magresulta sa pagkakalantad ng mga sensitibong impormasyong nakaimbak sa memorya ng server, kabilang ang mga tala ng gumagamit, password, at mga API key. Bagama't maaaring kailanganin ng mga umaatake na magpadala ng malaking dami ng mga kahilingan upang muling buuin ang makabuluhang data, at ang ilang mga leaked fragment ay maaaring hindi mahalaga, ang panganib ay tumataas sa paglipas ng panahon. Kung mas matagal na pinapanatili ng isang umaatake ang access, mas maraming data ang maaaring makuha.

Kinumpirma ng mga cloud security analyst na ang pag-atake ay hindi nangangailangan ng authentication at walang interaksyon ng user, kaya lalong nagiging mahina ang mga internet-facing MongoDB server.

Saklaw at Pandaigdigang Pagkakalantad

Ipinapakita ng pagsusuri na ang mga apektadong MongoDB instance ay malawak na ipinamamahagi sa buong mundo, na may mataas na konsentrasyon sa Estados Unidos, Tsina, Alemanya, India, at Pransya. Iniulat din ng mga mananaliksik na 42% ng mga cloud environment ay naglalaman ng kahit isang MongoDB instance na nagpapatakbo ng bersyong mahina laban sa CVE-2025-14847, na sumasaklaw sa parehong mga pampublikong nakalantad na sistema at panloob na imprastraktura.

Sa kasalukuyan, nananatiling hindi malinaw ang mga tiyak na pamamaraan na ginagamit sa mga aktibong kampanya ng pagsasamantala.

Mga Patch, Apektadong Software, at Mas Malawak na Epekto

Naglabas na ang MongoDB ng mga pag-aayos sa maraming sinusuportahang sangay, at nailapat na ang mga patch sa MongoDB Atlas. Dapat mag-upgrade agad ang mga organisasyon sa isa sa mga sumusunod na secure na bersyon:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, o 4.4.30

Mahalaga ring tandaan na ang isyu ay hindi eksklusibo sa MongoDB. Ang kahinaan ay nakakaapekto rin sa Ubuntu rsync package, dahil sa pagdepende nito sa parehong zlib compression library.

Mga Istratehiya sa Pagpapagaan Habang Nagtatakip

Para sa mga kapaligiran kung saan hindi magagawa ang agarang pag-aayos, maraming pansamantalang pagpapagaan ang maaaring makabuluhang makabawas sa pagkakalantad:

• I-disable ang zlib compression sa pamamagitan ng pagsisimula ng mongod o mongos gamit ang opsyong networkMessageCompressors o net.compression.compressors na na-configure para ibukod ang zlib
• Limitahan ang pagkakalantad sa network sa pamamagitan ng paghihigpit sa pag-access sa mga server ng MongoDB at mahigpit na pagsubaybay sa mga log para sa mga kahina-hinalang pagtatangka ng koneksyon bago ang pagpapatunay

Pangwakas na Pagtatasa

Ang MongoBleed ay kumakatawan sa isang seryosong banta dahil sa kadalian ng pagsasamantala, kakulangan ng mga kinakailangan sa pagpapatunay, at malawakang pagkakalantad. Dapat ituring ng mga organisasyong nagpapatakbo ng MongoDB ang CVE-2025-14847 bilang isang item sa remediation na may mataas na prayoridad, maglapat ng mga patch nang walang pagkaantala, at tiyaking naaalis ang hindi kinakailangang pagkakalantad sa network hangga't maaari.