ИБ-эксперты предупредили об уязвимости MongoBleed в MongoDB: утечка данных из памяти возможна без пароля

В сообществе ИБ активно обсуждают MongoBleed (CVE-2025-14847) — опасную брешь в MongoDB, из-за которой возможна утечка данных прямо из памяти сервера. Проблема связана с чтением неинициализированной области кучи и возникает из-за несоответствия полей длины в заголовках протокола при работе со сжатием Zlib. Уязвимости присвоен высокий рейтинг 8,7 из 10, а ситуация стала заметно серьезнее после появления в открытом доступе рабочего PoC.

Сценарий атаки выглядит так: злоумышленник отправляет специально сформированное сообщение, где заявляет, что после распаковки размер будет больше реального. Сервер, доверяя этим данным, выделяет увеличенный буфер, и через него наружу могут «вытечь» фрагменты памяти. В них нередко оказываются учетные данные, облачные ключи, токены сессий, API-ключи, конфигурации и прочая чувствительная информация. При этом атакующему не требуются валидные логины и пароли, что делает риск особенно неприятным для публично доступных инстансов (фото: ru.freepik.com).
По оценке BleepingComputer со ссылкой на Censys, в интернете насчитывается около 87 тысяч потенциально уязвимых экземпляров. Больше всего таких установок находится в США (примерно 20 тысяч), затем идут Китай (около 17 тысяч) и Германия (порядка 8 тысяч).
Под ударом версии MongoDB 8.2.0–8.2.3, 8.0.0–8.0.16, 7.0.0–7.0.26, 6.0.0–6.0.26, 5.0.0–5.0.31, 4.4.0–4.4.29, а также все релизы веток 4.2, 4.0 и 3.6. Исправления для автономных инстансов доступны с 19 декабря. Пользователям MongoDB Atlas предпринимать ничего не нужно — там патч применен автоматически. Подтвержденных массовых атак пока нет, хотя некоторые исследователи пытаются связать MongoBleed с недавним инцидентом вокруг Ubisoft Rainbow Six Siege. Федор Аверьев