Cyber Security UP

MongoDB CVE-2025-14847: attaccanti non autenticati possono leggere memoria heap, patch urgente o disabilita zlib

Una nuova vulnerabilità di sicurezza ad alta gravità in MongoDB sta attirando l’attenzione di chi gestisce database in produzione, perché potrebbe consentire ad attaccanti non autenticati di leggere memoria heap non inizializzata. Il problema è tracciato come CVE-2025-14847 con punteggio CVSS 8.7 e riguarda una gestione non corretta di incongruenze nei parametri di lunghezza, un caso in cui il campo lunghezza indicato non corrisponde alla reale dimensione dei dati associati.

Nel dettaglio, la falla è collegata alla gestione degli header di protocollo compressi con zlib. In presenza di campi lunghezza non coerenti, un client remoto potrebbe innescare una condizione che porta il server MongoDB a restituire porzioni di memoria non inizializzata, senza dover superare alcuna autenticazione. Questo tipo di esposizione è particolarmente delicato per la sicurezza dei dati, perché la memoria heap può contenere informazioni sensibili in memoria, come dettagli sullo stato interno del processo, puntatori o altri frammenti utili a facilitare attacchi successivi.

Versioni interessate e versioni corrette

Le versioni interessate includono un ampio intervallo di release di MongoDB Server, tra cui 8.2.0 fino a 8.2.3, 8.0.0 fino a 8.0.16, 7.0.0 fino a 7.0.26, 6.0.0 fino a 6.0.26, 5.0.0 fino a 5.0.31, 4.4.0 fino a 4.4.29, oltre a tutte le versioni delle serie 4.2, 4.0 e 3.6. La correzione è disponibile nelle versioni 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30, e l’aggiornamento è fortemente raccomandato per ridurre il rischio.

Mitigazione se non è possibile aggiornare subito

Se non è possibile aggiornare immediatamente, una mitigazione pratica consiste nel disabilitare la compressione zlib lato server, avviando mongod o mongos con una configurazione che escluda esplicitamente zlib dai networkMessageCompressors o dalle opzioni net.compression.compressors. MongoDB supporta anche altri compressori come snappy e zstd, che possono essere usati in alternativa per mantenere benefici di prestazioni limitando l’esposizione al vettore specifico.

Indicazioni operative per sicurezza e amministrazione

Per i team di sicurezza e per gli amministratori di database, questa vulnerabilità evidenzia l’importanza di una gestione rigorosa delle patch, della riduzione della superficie di attacco a livello di rete e del monitoraggio delle configurazioni legate alla compressione e ai driver.

Penetration testing cyber , MongoDB , CVE-2025-14847 , zlib , memoria non inizializzata , sicurezza database