Le fournisseur de bases de données open source documentaires MongoDB a prévenu d'une faille pouvant permettre à des utilisateurs non authentifiés de lire la mémoire heap non initialisée. Elle a été identifiée en tant que CVE-2025-14847 et est considérée comme importante (score CVSS 8.7). « Des champs de longueur incompatibles dans les en-têtes de protocole compressés Zlib peuvent permettre à un client non authentifié de lire de la mémoire heap non initialisée », peut-on lire dans le bulletin de sécurité. Une situation qui pourrait permettre à un pirate d'exécuter du code arbitraire et potentiellement de prendre le contrôle d'un système.
La faille affecte les versions suivantes de MongoDB et MongoDB Server :
- MongoDB 8.2.0 jusqu'à la 8.2.3 ;
- MongoDB 8.0.0 jusqu'à la 8.0.16 ;
- MongoDB 7.0.0 jusqu'à la 7.0.26 ;
- MongoDB 6.0.0 jusqu'à la 6.0.26 ;
- MongoDB 5.0.0 jusqu'à la 5.0.31 ;
- MongoDB 4.4.0 jusqu'à la 4.4.29 ;
- Toutes les versions MongoDB Server v4.2 ;
- Toutes les versions MongoDB Server v4.0 ;
- Toutes les versions MongoDB Server v3.6.
Dans son avis, l'éditeur « recommande vivement » aux utilisateurs de passer immédiatement aux versions corrigées du logiciel : MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30. Toutefois, il précise : « Si vous ne pouvez pas effectuer la mise à niveau immédiatement, désactivez la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec une option networkMessageCompressors ou net.compression.compressors qui omet explicitement zlib. » MongoDB, l'une des bases de données NoSQL orientée documents les plus populaires auprès des développeurs, affirme compter actuellement plus de 62 000 clients dans le monde, dont 70 % des entreprises du classement Fortune 100.