פגיעות ב-MongoDB מאפשרת לשאוב נתונים מהדאטה בייס ללא הרשאה

פגיעות קריטית נחשפה באחרונה ב-MongoDB. הפגיעות, שזכתה לציון סיכון גבוה ונרשמה למעקב תחת הקוד CVE-2025-14847, כבר זכתה לכינוי Mongobleed (מונגו מדממת), והיא מאפשרת לתוקפים לשאוב נתונים מבסיס הנתונים בלי בכלל צורך בהרשאה.

הפגיעות קשורה ליישום zlib, המשמש לדחיסת נתונים של MongoDB, והיא מאפשרת לנצל אותו בצד הלקוח של השרת כדי לקבל חשיפה של נתונים רגישים, שמאוחסנים בזיכרון ערמה (Heap) שלא עבר אתחול. בזמן שהמערכת מנסה לפתוח קובץ מכווץ שמכיל חבילת נתונים מהונדסת, היא יכולה לגרום לתקלה שמאפשרת את הקריאה של חלקים מהזיכרון.

לפי ההערכות, הפגיעות הזו קיימת ביותר מ-87 אלף התקנות של היישום, אך טרם ידוע על פגיעה שלה בפועל. כך או כך, חוקר אבטחה בשם ג'ו דזימונה יצר כלי הוכחת יכולת, שיכול לבדוק האם הפגיעות קיימת בשרת של הארגון.

הפגיעות נחשבת למסוכנת במיוחד מכיוון שכאמור, היא לא זקוקה לאימות מצד השרת, ועקב כך היא יכולה, ולו באופן תיאורטי, לשמש להורדת מחסומים לחדירה של רושעות נוספות.

הפתרון של MongoDB: לשדרג

ל-MongoDB, בסיס הנתונים שנחשב למוביל בקטגוריית ה-NoSQL, יש גרסאות רבות, והפגיעות הזו קיימת גם בגרסאות ותיקות מאוד שלו. החברה קוראת לשדרג את בסיס הנתונים שלה באופן מיידי לגרסאות 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, או 4.430.

אחת הדרכים לעקוף את הבעיה באופן זמני היא להגדיר למערכת להפסיק להשתמש בכלל בכיווץ נתונים, או להשתמש באופן זמני לפחות בחלופות ל-zlib שידוע שהן בטוחות, כמו Snappy או Zstd.