کمیته رکن چهارم – پایگاهداده MongoDB، که یکی از پرکاربردترین سیستمهای مدیریت داده در جهان است، بهتازگی با یک آسیبپذیری مهم امنیتی مواجه شده که مهاجمان را قادر میسازد بدون احراز هویت به بخشهایی از حافظه سرور دسترسی یابند. این نقص با شناسه CVE-2025-14847 و امتیاز شدت ۸٫۷، در تاریخ ۲۷ دسامبر ۲۰۲۵ افشا شده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری از ناسازگاری در پارامتر طول دادهها در هنگام استفاده از الگوریتم فشردهسازی Zlib ناشی میشود. در این شرایط، مهاجم میتواند با ساخت یک درخواست خاص، باعث شود سرور MongoDB دادههایی از حافظه اولیهنشده Heap را بازگرداند، آن هم بدون نیاز به هیچگونه احراز هویت. این دادهها ممکن است حاوی اطلاعات حساس داخلی، اشارهگرهای برنامه و یا دادههای موقت باشند که در مراحل بعدی مورد سوءاستفاده قرار گیرند.
طبق اعلام رسمی MongoDB، این آسیبپذیری تقریباً همه نسخههای فعلی را دربر میگیرد. نسخههای امن شامل بهروزرسانیهایی مانند ۸٫۲٫۳، ۸٫۰٫۱۷، و ۷٫۰٫۲۸ هستند. کاربران باید در اسرع وقت به نسخههای وصلهشده مهاجرت کنند.
در صورتی که بهروزرسانی فوری ممکن نباشد، غیرفعالسازی فشردهسازی Zlib و استفاده از گزینههایی مانند snappy یا zstd به عنوان راهحل موقت توصیه شده است. این کار میتواند احتمال افشای داده از حافظه را به حداقل برساند.
توصیه میشود کاربران MongoDB فوراً وضعیت نسخههای خود را بررسی کرده، اقدامات اصلاحی را انجام دهند و همچنین دسترسی مستقیم سرور به کاربران ناشناس یا غیرمجاز را با لایههای امنیتی مناسب محدود کنند.
