W implementacji dekompresji wiadomości z użyciem zlib w serwerze MongoDB znaleziono błąd pozwalający niezalogowanemu atakującemu sieciowo pozyskiwać wrażliwe informacje z pamięci. Podatność otrzymała sygnaturę CVE-2025-14847 i punktację CVSS 8.7 – punktacja wskazuje, że jest to poważna luka bezpieczeństwa.Skrypt pozwalający na wykorzystanie tej podatności dostępny jest publicznie, sama podatność jest już wykorzystywana w atakach.

Wersje MongoDB z załataną podatnością: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, oraz 4.4.30, prosimy o aktualizację instancji serwerów. Jeżeli nie jest to w tym momencie możliwe, należy wyłączyć kompresję z użyciem zlib po stronie serwera (uruchomienie mongod lub mongos z opcjami networkMessageCompressors lub net.compression.compressors, w których pominięty zostaje zlib).

Dodatkowo, ta sama podatność dotknęła pakiet rsync w Ubuntu (wersje 20.04. 18.04 i 16.04). Te wersje dystrybucji Ubuntu nie posiadają już standardowego wsparcia bezpieczeństwa, zalecamy przejście na nowsze, wspierane wersje.

Źródła:

  1. https://www.cve.org/CVERecord?id=CVE-2025-14847
  2. https://www.mongodb.com/community/forums/t/important-mongodb-patch-available/332977
  3. https://thehackernews.com/2025/12/mongodb-vulnerability-cve-2025-14847.html
  4. https://ubuntu.com/security/CVE-2025-14847