Una vulnerabilità critica è stata individuata in MongoDB, tra le piattaforme di database NoSQL più utilizzate a livello globale.
Questa falla di sicurezza, monitorata con il codice CVE-2025-14847, permette agli aggressori di estrarre dati sensibili dalla memoria del server senza necessità di effettuare l’accesso.
La vulnerabilità ha una portata enorme e colpisce quasi tutte le versioni supportate (e non supportate) di MongoDB Server degli ultimi anni. L’avviso elenca impatti che vanno dalla moderna serie 8.2 fino alla versione 3.6.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Questo problema riguarda le versioni di seguito elencate:
La debolezza è legata alla gestione della compressione dei dati da parte del server MongoDB, in particolare all’implementazione della libreria zlib. Come indicato nell’avviso, un exploit sul lato client della implementazione zlib del server può causare il rilascio di memoria heap priva di inizializzazione.
La vulnerabilità, con un punteggio CVSSv4 di 8,7, viene classificata come di “Gravità elevata”, costituendo un rischio considerevole per le distribuzioni non aggiornate, in particolare poiché non richiede autenticazione per essere sfruttata.
In termini di sicurezza informatica, questo bug viene spesso definito “memory leak” o “information disclosure”. Inviando una richiesta appositamente predisposta, un client malintenzionato può ingannare il server inducendolo a rispondere con blocchi di dati dalla sua memoria interna (heap).
Fondamentalmente, il rapporto sottolinea che questo può essere ottenuto “senza autenticarsi al server”. Ciò significa che un aggressore non ha bisogno di un nome utente o di una password; gli basta l’accesso di rete alla porta del database per raccogliere potenzialmente frammenti di dati sensibili, che potrebbero includere qualsiasi cosa, dalle query recenti alle credenziali memorizzate nella cache, residenti nella RAM del server.
I responsabili della manutenzione hanno rilasciato versioni corrette e prive del bug in questione che sono le seguenti:
Esistono soluzioni temporanee per team che non possono interrompere i propri database per un aggiornamento immediato. Un’opzione possibile è disabilitare completamente la compressione zlib, come suggerito dall’avviso, ad esempio avviando mongod o mongos con un’opzione net.compression.compressors che esplicitamente omette zlib.
Tra le alternative sicure per la compressione figurano “snappy” o “zstd“. Un’altra opzione potrebbe essere quella di eseguire il processo con la compressione disabilitata, in attesa di poter applicare la patch.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
