کمیته رکن چهارم – یک آسیبپذیری تازه کشفشده در پایگاه داده MongoDB این امکان را به مهاجمان میدهد تا بدون نیاز به احراز هویت، به اطلاعات ذخیرهشده در حافظه سرور دسترسی پیدا کنند؛ موضوعی که بسیاری از نسخههای پرکاربرد این نرمافزار را در معرض خطر قرار داده است.
به گزارش کمیته رکن چهارم، یک آسیبپذیری با شدت بالا و با شناسه CVE-2025-14847 اخیراً در پایگاه داده MongoDB شناسایی شده که به مهاجمان اجازه میدهد بدون داشتن حساب کاربری، به بخشهایی از حافظه مقداردهینشده سرور دسترسی پیدا کنند. این آسیبپذیری بهدلیل مدیریت نادرست پارامترهای مربوط به طول دادهها در فشردهسازی Zlib بهوجود آمده و امتیاز ۸.۷ را در سیستم CVSS کسب کرده است.
بر اساس اطلاعات منتشرشده، ناهماهنگی بین اندازه واقعی دادهها و طول اعلامشده در هدرهای فشردهسازی Zlib میتواند موجب افشای دادههایی از حافظه heap شود. شرکت MongoDB تأیید کرده است که این نقص امنیتی نسخههای گستردهای از نرمافزار را شامل میشود؛ از جمله نسخههای ۸٫۲٫۰ تا ۸٫۲٫۳ و همچنین شاخههای مختلف از نسخههای ۸٫۰، ۷٫۰، ۶٫۰، ۵٫۰، ۴٫۴، و تمامی نسخههای سریهای ۴٫۲، ۴٫۰ و ۳٫۶٫
بر اساس اطلاعیه رسمی منتشرشده، مشکل مذکور در نسخههای اصلاحشده شامل ۸٫۲٫۳، ۸٫۰٫۱۷، ۷٫۰٫۲۸، ۶٫۰٫۲۷، ۵٫۰٫۳۲ و ۴٫۴٫۳۰ برطرف شده است. MongoDB به کاربران توصیه کرده است که در سریعترین زمان ممکن نرمافزار خود را به این نسخهها بهروزرسانی کنند.
در مواردی که امکان ارتقاء فوری وجود ندارد، غیرفعال کردن الگوریتم Zlib از طریق تغییر در تنظیمات networkMessageCompressors بهعنوان راهکار موقت پیشنهاد شده است. MongoDB اعلام کرده که همچنان از الگوریتمهای جایگزین مانند Snappy و Zstd پشتیبانی میکند.
MongoDB یکی از محبوبترین پایگاههای داده NoSQL در جهان است که در بسیاری از سیستمهای نرمافزاری، خدمات آنلاین و زیرساختهای سازمانی مورد استفاده قرار میگیرد. آسیبپذیریهای امنیتی پیشین نیز نشان دادهاند که عدم بهروزرسانی بهموقع این نوع نرمافزارها میتواند به نشت اطلاعات و حملات سایبری گسترده منجر شود. یافتههای اخیر اهمیت توجه بیشتر به ایمنسازی زیرساختهای دیجیتال و بهروزرسانی مداوم ابزارهای مورد استفاده را بار دیگر برجسته کرده است.
