ГлавнаяБаза уязвимостей БДУ → BDU:2025-16225
7.8высокая

BDU:2025-16225 (CVE-2025-14847)

Уязвимость реализации протокола Zlib системы управления базами данных MongoDB, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2025-12-24
Описание

Уязвимость реализации протокола Zlib системы управления базами данных MongoDB связана с неправильной обработкой несоответствия параметра длины. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
РЕД ОС (8.0)MongoDB (от 7.0 до 7.0.28)MongoDB (от 8.0 до 8.0.17)MongoDB (от 8.2 до 8.2.3)MongoDB (от 6.0 до 6.0.27)MongoDB (от 5.0 до 5.0.32)MongoDB (от 4.4 до 4.4.30)Mailion (до 2.3.3)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности использования протокола Zlib;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://jira.mongodb.org/browse/SERVER-115508

Для ООО "Новые Облачные Технологии":
Обновление программного обеспечения до версии 2.3.5 или выше

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-mongodb-org-cve-2025-14847-7.3/?sphrase_id=1455101

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://jira.mongodb.org/browse/SERVER-115508https://www.redhotcyber.com/en/post/critical-mongodb-vulnerability-exposed-cve-2025-14847/https://www.vicarius.io/vsociety/posts/cve-2025-14847-detection-script-heap-memory-exposure-in-mongodb-serverhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csvhttps://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-mongodb-org-cve-2025-14847-7.3/?sphrase_id=1455101
Проверьте безопасность своего сайта и почты → Полная проверка домена