La société conseille aux clients de procéder à la mise à niveau immédiatement ou, s’ils ne le peuvent pas, de désactiver la compression zlib.
Le fournisseur de bases de données documentaires MongoDB a conseillé à ses clients de mettre à jour immédiatement après la découverte d’une faille qui pourrait permettre à des utilisateurs non authentifiés de lire la mémoire tas non initialisée.
Désigné CVE-2025-14847, le bug, les champs de longueur incompatible dans les en-têtes du protocole compressé zlib, pourrait permettre à un attaquant d’exécuter du code arbitraire et potentiellement de prendre le contrôle d’un périphérique.
La faille affecte les versions suivantes de MongoDB et MongoDB Server :
- MongoDB 8.2.0 à 8.2.3
- MongoDB 8.0.0 à 8.0.16
- MongoDB 7.0.0 à 7.0.26
- MongoDB 6.0.0 à 6.0.26
- MongoDB 5.0.0 à 5.0.31
- MongoDB 4.4.0 à 4.4.29
- Toutes les versions du serveur MongoDB v4.2
- Toutes les versions du serveur MongoDB v4.0
- Toutes les versions du serveur MongoDB v3.6
Dans son avis, MongoDB « a fortement suggéré » aux utilisateurs de mettre immédiatement à niveau vers les versions corrigées du logiciel : MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30.
Cependant, il indique : « si vous ne pouvez pas effectuer la mise à niveau immédiatement, désactivez la compression zlib sur le serveur MongoDB en démarrant ou avec une option networkMessageCompressors ou net.compression.compressors qui omet explicitement zlib. »
MongoDB, l’une des bases de données de documents NoSQL les plus populaires auprès des développeurs, affirme compter actuellement plus de 62 000 clients dans le monde, dont 70 % du Fortune 100.
