MongoBleed permet de divulguer des données sans que les attaquants n’aient à s’authentifier.
Des chercheurs en sécurité mettent en garde contre une grave vulnérabilité dans MongoDB qui est activement exploitée. La vulnérabilité est nommée MongoBleed (CVE-2025-14847). Plus de 80 000 serveurs MongoDB seraient vulnérables dans le monde entier et directement accessibles via Internet.
La vulnérabilité a un score CVSS de 8,7 et permet aux attaquants de divulguer des données sensibles de la mémoire d’un serveur MongoDB, sans qu’une authentification soit nécessaire.
Fuite de mémoire
MongoBleed se produit lors du trafic réseau traité par MongoDB et compressé avec zlib, écrit MongoDB dans un avis de sécurité. En raison d’une erreur dans le contrôle des données décompressées, un attaquant peut envoyer un paquet réseau manipulé qui entraîne la fuite de morceaux de mémoire aléatoires.
Celles-ci peuvent inclure des mots de passe de base de données, des clés API et cloud, des jetons de session, des informations personnelles identifiables (PII), des configurations et des journaux internes. Étant donné que la décompression a lieu avant la phase d’authentification, aucun identifiant de connexion valide n’est requis.
Activement exploité
La vulnérabilité est désormais activement exploitée. Un exploit de preuve de concept, développé par des chercheurs, circule. Selon un chercheur en sécurité, les attaquants n’ont besoin que de l’adresse IP d’une base de données MongoDB pour extraire des informations sensibles de la mémoire.
Censys a dénombré plus de 87 000 instances MongoDB potentiellement vulnérables fin décembre, la plupart se trouvant aux États-Unis, en Chine et en Allemagne. La société de sécurité cloud Wiz affirme que 42 % des environnements visibles exécutent au moins une version vulnérable de MongoDB, accessible à la fois en interne et publiquement.
lire aussi
Une faille de sécurité découverte dans Mongoose rend MongoDB vulnérable
Le correctif seul ne suffit pas
Les chercheurs soulignent que la mise à jour est nécessaire, mais que des mesures supplémentaires sont également requises. Recon InfoSec avertit que les organisations doivent également vérifier si elles ont déjà été compromises. Elles peuvent le faire, entre autres, en vérifiant les adresses IP. Une adresse IP source avec de très nombreuses connexions sans métadonnées associées dans les journaux MongoDB indique celle d’un attaquant.
MongoDB recommande de passer immédiatement à une version sécurisée, notamment :
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30
Toutes les anciennes versions 4.2, 4.0 et 3.6 sont également vulnérables.
Les clients de MongoDB Atlas sont automatiquement corrigés. Ceux qui ne peuvent pas mettre à niveau peuvent désactiver la compression zlib comme mesure temporaire. MongoDB conseille de passer à Zstandard (zstd) ou Snappy comme alternatives plus sûres.