جزئیات آسیبپذیری امنیتی MongoDB
یک آسیبپذیری امنیتی در MongoDB با شناسه CVE-2025-14847 و امتیاز 8.7 در سیستم CVSS شناسایی شده است که به مهاجمان امکان میدهد بدون نیاز به احراز هویت، بخشی از دادههای موجود در حافظه سرور را بخوانند. ریشه این نقص به مدیریت نادرست پارامتر طول دادهها بازمیگردد؛ وضعیتی که در آن طول اعلامشده با اندازه واقعی داده همخوانی ندارد.
نسخههای تحت تأثیر و اصلاحشده
این آسیبپذیری طیف وسیعی از نسخههای MongoDB را شامل میشود:
- نسخههای 8.2.0 تا 8.2.3 و شاخههای 8.0، 7.0، 6.0، 5.0 و 4.4.
- تمامی نسخههای MongoDB Server در شاخههای 4.2، 4.0 و 3.6.
به گفته شرکت MongoDB، این مشکل در نسخههای جدیدتر از جمله 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32 و 4.4.30 برطرف شده است.
نحوه سوءاستفاده و راهکارهای موقت
شرکت MongoDB هشدار داده است که یک اکسپلویت سمت کلاینت میتواند از پیادهسازی Zlib در سرور سوءاستفاده کرده و دادههایی از حافظه مقداردهینشده را استخراج کند. در صورت عدم امکان ارتقای فوری، راهکار موقت پیشنهادی عبارت است از:
- غیرفعال کردن فشردهسازی Zlib در سرور MongoDB از طریق تنظیم گزینههای networkMessageCompressors یا net.compression.compressors.
- استفاده از الگوریتمهای جایگزین مانند Snappy و Zstd.
پیامدهای امنیتی و اهمیت بهروزرسانی
به گفته شرکت OP Innovate، این آسیبپذیری میتواند منجر به افشای اطلاعات حساس موجود در حافظه شود؛ دادههایی مانند وضعیت داخلی برنامه، اشارهگرها یا اطلاعاتی که ممکن است به مهاجمان در اجرای حملات پیشرفتهتر کمک کند. این موضوع اهمیت ارتقای سریع نسخههای MongoDB و توجه جدی به تنظیمات امنیتی در زیرساختهای حیاتی را دوچندان میکند.
جمعبندی
آسیبپذیری جدید در MongoDB تهدیدی جدی برای امنیت دادهها محسوب میشود. ارتقای فوری به نسخههای اصلاحشده یا اجرای راهکارهای موقت، تنها راه کاهش ریسک افشای اطلاعات حساس و حفظ امنیت زیرساختهای مبتنی بر این پایگاه داده است.
