Lỗ hổng nghiêm trọng MongoDB cho phép đọc dữ liệu bộ nhớ chưa khởi tạo

[WhiteHat Team]

Một lỗ hổng vừa được công bố trong MongoDB cho phép kẻ tấn công từ xa không cần xác thực có thể đọc dữ liệu bộ nhớ heap chưa được khởi tạo trên máy chủ cơ sở dữ liệu.
​

​

MongoDB là hệ quản trị cơ sở dữ liệu NoSQL mã nguồn mở được sử dụng phổ biến trong các ứng dụng web, tài chính và dịch vụ trực tuyến. Do đó, lỗ hổng bảo mật CVE-2025-14847 (CVSS 8,7) vừa được phát hiện trong MongoDB được đánh giá là đặc biệt nguy hiểm khi cho phép client chưa xác thực có thể đọc các vùng bộ nhớ heap chưa được khởi tạo do lỗi xử lý tham số độ dài trong giao thức nén Zlib.

Các phiên bản MongoDB bị ảnh hưởng rất rộng bao gồm từ MongoDB 3.6 đến 8.2.3, trong đó có toàn bộ các nhánh phổ biến như 4.0, 4.2, 5.0, 6.0, 7.0 và 8.x trước bản vá. MongoDB đã phát hành bản sửa lỗi trong các phiên bản 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 và 4.4.30.

Theo các chuyên gia WhiteHat, lỗ hổng này có thể làm lộ dữ liệu nhạy cảm trong bộ nhớ bao gồm trạng thái nội bộ, con trỏ hoặc thông tin hỗ trợ cho các cuộc tấn công tiếp theo, đặc biệt nguy hiểm với các hệ thống MongoDB đang phơi nhiễm ra Internet và đã ghi nhận có PoC. Vì vậy, người dùng cập nhật bản vá càng sớm càng tốt. Trong trường hợp chưa thể cập nhật ngay, biện pháp tạm thời là vô hiệu hóa nén Zlib trên máy chủ MongoDB, chỉ sử dụng các tùy chọn nén khác như snappy hoặc zstd.
​

Theo The Hacker News​