Vulnérabilités

Bulletin de menaces : Vulnérabilité MongoDB (CVE-2025-14847)

7 minutes de lecture

Synthèse

Le 19 décembre 2025, MongoDB a publiquement divulgué MongoBleed, une vulnérabilité de sécurité (CVE-2025-14847) permettant à des attaquants non authentifiés de faire fuiter des données sensibles de la mémoire dynamique (heap) en exploitant un problème de confiance dans la manière dont MongoDB Server traite les messages réseau compressés avec zlib. Cette faille intervient avant l'authentification, ce qui signifie qu'un attaquant a seulement besoin d'un accès réseau au port par défaut de la base de données pour la déclencher.

Les détails clés de la menace sont résumés ci-dessous :

Vulnérabilité : La CVE-2025-14847 est une vulnérabilité critique de divulgation de mémoire sans authentification dans la gestion des messages compressés zlib par MongoDB Server (CVSS 8.7).
Impact : Cette mémoire peut contenir des données sensibles telles que des identifiants en clair, des clés API, des jetons de session et des données à caractère personnel (DCP/PII).
Statut : Exploitation active confirmée dans la nature. Une preuve de concept (PoC) publique est disponible. L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées connues (KEV) le 29 décembre 2025, sur la base de preuves d'exploitation active.

Cortex Xpanse identificó aproximadamente 146 000 instancias de MongoDB expuestas a Internet.

Les clients de Palo Alto Networks bénéficient d'une protection renforcée contre les activités liées à la CVE-2025-14847 grâce aux produits et services suivants :

Cortex XDR et XSIAM peuvent aider à protéger contre les activités de post-exploitation grâce à une approche de protection multicouche.
Cortex Cloud peut aider à détecter les ressources hébergées dans le cloud vulnérables à la CVE-2025-14847.
Cortex Xpanse peut aider à identifier les appareils MongoDB exposés sur l'Internet public et à remonter ces découvertes aux défenseurs.

L'équipe de réponse aux incidents de Unit 42 peut également être sollicitée pour aider en cas de compromission ou pour fournir une évaluation proactive afin de réduire vos risques.

Vulnérabilités abordées	CVE-2025-14847

Détails de la CVE-2025-14847

La vulnérabilité MongoBleed trouve son origine dans la manière dont MongoDB traite les messages du protocole réseau (wire protocol) compressés avec zlib, une fonctionnalité activée par défaut. La communication est gérée via un en-tête OP_COMPRESSED, qui encapsule la charge utile du message original et inclut un champ spécifiant la taille attendue des données non compressées.

Le mécanisme d'attaque s'exécute de la manière suivante :

Un attaquant non authentifié envoie un message compressé spécialement conçu à un serveur MongoDB vulnérable.
L'attaquant manipule le champ uncompressedSize au sein de l'en-tête OP_COMPRESSED, en le définissant sur une valeur significativement plus grande que la charge utile compressée réelle.
Le serveur ne parvient pas à valider cette valeur et alloue un tampon mémoire surdimensionné basé sur la taille spécifiée par l'attaquant. Ce tampon est rempli avec de la mémoire tas non initialisée, vestiges de données précédemment traitées.
La fuite est amplifiée par la logique de gestion des erreurs de MongoDB. Lorsque l'objet BSON malformé de l'attaquant est envoyé sans terminateur null, le serveur tente d'analyser la mémoire jusqu'à ce qu'il rencontre un terminateur null. Lorsque l'analyse échoue finalement, le serveur renvoie une réponse d'erreur qui inclut à la fois le message malveillant d'origine et le contenu de la mémoire tas divulguée.

Il est important de noter que MongoDB a automatiquement appliqué le correctif aux clients gérés MongoDB Atlas, ce qui signifie que les serveurs MongoDB auto-hébergés nécessitent une application manuelle du correctif.

Ce processus permet à un attaquant de faire fuiter progressivement de larges portions de la mémoire du serveur en envoyant des requêtes malformées répétées.

Vecteur d'attaque et impact

Le vecteur d'attaque est entièrement distant, sans authentification et ne nécessite aucune interaction de l'utilisateur. Un adversaire a seulement besoin d'un accès réseau au port MongoDB par défaut (TCP/27017) pour exploiter la faille.

L'impact principal est une perte de données de haute confidentialité. Bien que MongoBleed se limite à une vulnérabilité de divulgation de mémoire en lecture seule et ne permette pas l'exécution de code à distance, l'importance stratégique des informations qui peuvent être divulguées est vaste. Les attaquants pourraient exploiter les secrets divulgués pour permettre une compromission ultérieure du système, l'exfiltration de données et le mouvement latéral.

Cette vulnérabilité affecte les versions MongoDB suivantes :

Version 8.2 : 8.2.0 – 8.2.2
Version 8.0 : 8.0.0 – 8.0.16
Version 7.0 : 7.0.0 – 7.0.27
Version 6.0 : 6.0.0 – 6.0.26
Version 5.0 : 5.0.0 – 5.0.31
Version 4.4 : 4.4.0 – 4.4.29

En fin de vie (aucun correctif disponible) :

Toutes les versions v4.2
Toutes les versions v4.0
Toutes les versions v3.6

Portée actuelle de l'attaque utilisant la CVE-2025-14847

La menace posée par MongoBleed n'est pas théorique. Une PoC d'exploitation publique fonctionnelle a été publiée sur GitHub le 26 décembre 2025. Des chercheurs en sécurité ont observé une exploitation active dans la nature peu après la divulgation de la vulnérabilité.

La confirmation officielle de l'exploitation active est arrivée le 29 décembre 2025, lorsque la CISA américaine a ajouté la CVE-2025-14847 à son catalogue KEV, obligeant les agences fédérales à corriger la faille.

Cortex Xpanse a identifié environ 146 000 instances vulnérables de MongoDB exposées sur Internet, fournissant une métrique tangible de la surface d'attaque mondiale.

Conseils provisoires

Si l'application immédiate du correctif n'est pas réalisable, les mesures temporaires suivantes doivent être envisagées pour aider à réduire le risque :

Segmentation du réseau : Réduisez l'exposition en bloquant tout accès entrant depuis Internet aux instances MongoDB sur le port TCP/27017. Les connexions doivent être restreintes au niveau du réseau aux seules sources explicitement approuvées.
Désactiver la compression zlib : Comme solution de contournement temporaire, désactivez le support de la compression zlib dans la configuration de MongoDB. Cette action empêche le chemin de code vulnérable d'être déclenché. Les alternatives sûres incluent snappy, zstd ou la désactivation totale de la compression.

Veuillez vous référer au suivi des tickets maintenu par MongoDB pour des suggestions supplémentaires et des mises à jour.

Requêtes de Threat Hunting gérées par Unit 42

L'équipe Managed Threat Hunting de Unit 42 continue de suivre toute tentative d'exploitation de cette CVE chez nos clients de services gérés, en utilisant la télémétrie disponible dans Cortex XDR. Les clients Cortex XDR qui n'utilisent pas les services gérés de Unit 42 peuvent également utiliser la requête XQL suivante pour rechercher des signes d'exploitation.

La requête suivante tente d'identifier un nombre élevé de connexions réseau vers des serveurs MongoDB. Les résultats de cette requête n'indiquent pas explicitement une exploitation, mais peuvent être utilisés pour signaler des systèmes nécessitant un examen plus approfondi.

// Description: High Velocity network connection to MongoDB server may indicate exploitation of MongoBleed (CVE-2025-14847)

// Notes: Review the source IP of the requests and the host IP addresses. Validate they are not the same. If the IPs are on the same subnet it may be due to routing or load-balancing configuration.

dataset = xdr_data

| filter event_type = ENUM.NETWORK

| filter lowercase(actor_process_image_name) in ("mongod", "mongod.exe")

| filter action_network_is_server = true

// Filter for non-RFC1918 IP addresses. To include all IPs (depending on routing configuration it is possible traffic may have the internal IP of a load balancer, proxy, router, or firewall) comment the following line.

| filter action_remote_ip not in (null, "")

| filter incidr(action_remote_ip, "10.0.0.0/8") != true and // RFC1918

incidr(action_remote_ip, "192.168.0.0/16") != true and // RFC1918

incidr(action_remote_ip, "172.16.0.0/12") != true and // RFC1918

incidr(action_remote_ip, "127.0.0.0/8") != true and // Loopback

incidr(action_remote_ip, "169.254.0.0/16") != true and // Link Local

incidr(action_remote_ip, "224.0.0.0/4") != true and // Multicast

incidr(action_remote_ip, "255.255.255.255/32") != true and // Broadcast

incidr(action_remote_ip, "198.18.0.0/15") != true // Reserved

| fields _time, agent_hostname, agent_id, actor_effective_username, agent_ip_addresses, agent_external_ip, actor_process_image_name, actor_process_image_path, action_local_ip, action_local_port, action_remote_ip, action_remote_port, action_remote_ip_enrichment, action_network_app_ids, action_network_connection_id, action_network_dpi_fields, action_network_packet_data, action_network_protocol, action_network_session_duration, action_upload, action_download

| filter action_network_session_duration <= 5000

| bin _time span = 1m

| comp count(_time) as Counter, values(agent_ip_addresses) as agent_ip_addresses, values(agent_external_ip) as agent_external_ip, values(action_local_port) as Local_ports, count_distinct(action_local_port) as Local_port_Count by agent_hostname, action_remote_ip, _time

// Identify source IPs with a high volume of connections per Minute. This number can be increased or decreased as needed. The higher the number the greater the chance of malicious activity, while the lower the number the broader the scope/ ability to identify activity.

| filter Counter >= 500

// Description: High Velocity network connection to MongoDB server may indicate exploitation of MongoBleed (CVE-2025-14847)

// Notes: Review the source IP of the requests and the host IP addresses. Validate they are not the same. If the IPs are on the same subnet it may be due to routing or load-balancing configuration.

dataset = xdr_data

| filter event_type = ENUM.NETWORK

| filter lowercase(actor_process_image_name) in ("mongod", "mongod.exe")

| filter action_network_is_server = true

// Filter for non-RFC1918 IP addresses. To include all IPs (depending on routing configuration it is possible traffic may have the internal IP of a load balancer, proxy, router, or firewall) comment the following line.

| filter action_remote_ip not in (null, "")

| filter incidr(action_remote_ip, "10.0.0.0/8") != true and // RFC1918

incidr(action_remote_ip, "192.168.0.0/16") != true and // RFC1918

incidr(action_remote_ip, "172.16.0.0/12") != true and // RFC1918

incidr(action_remote_ip, "127.0.0.0/8") != true and // Loopback

incidr(action_remote_ip, "169.254.0.0/16") != true and // Link Local

incidr(action_remote_ip, "224.0.0.0/4") != true and // Multicast

incidr(action_remote_ip, "255.255.255.255/32") != true and // Broadcast

incidr(action_remote_ip, "198.18.0.0/15") != true // Reserved

| fields _time, agent_hostname, agent_id, actor_effective_username, agent_ip_addresses, agent_external_ip, actor_process_image_name, actor_process_image_path, action_local_ip, action_local_port, action_remote_ip, action_remote_port, action_remote_ip_enrichment, action_network_app_ids, action_network_connection_id, action_network_dpi_fields, action_network_packet_data, action_network_protocol, action_network_session_duration, action_upload, action_download

| filter action_network_session_duration <= 5000

| bin _time span = 1m

| comp count(_time) as Counter, values(agent_ip_addresses) as agent_ip_addresses, values(agent_external_ip) as agent_external_ip, values(action_local_port) as Local_ports, count_distinct(action_local_port) as Local_port_Count by agent_hostname, action_remote_ip, _time

// Identify source IPs with a high volume of connections per Minute. This number can be increased or decreased as needed. The higher the number the greater the chance of malicious activity, while the lower the number the broader the scope/ ability to identify activity.

| filter Counter >= 500

Conclusion

Bien que MongoBleed porte un niveau de sévérité Critique, son exploitation réussie contre une entreprise surveillée est opérationnellement difficile. En raison du retour de fragments de données aléatoires et non structurés depuis un serveur exploité, capturer des données précieuses nécessite qu'un attaquant inonde le serveur de milliers de requêtes.

Cela rend toute exploitation rentable de MongoBleed équivalente à une intrusion bruyante, créant une empreinte que les heuristiques standard et les contrôles de limitation de débit (rate-limiting) devraient être bien conçus pour détecter et bloquer bien avant qu'une exfiltration significative de données ne se produise généralement.

Les clients de Palo Alto Networks sont mieux protégés par nos produits, comme indiqué ci-dessous.

Protections des produits Palo Alto Networks pour la CVE-2025-14847

Les clients de Palo Alto Networks peuvent tirer parti d'une variété de protections produits et de services pour aider à identifier et à se défendre contre cette menace.

Si vous pensez avoir été compromis ou si vous avez une urgence, contactez l'équipe de réponse aux incidents de Unit 42 ou appelez :

Amérique du Nord : Numéro vert : +1 (866) 486-4842 (866.4.UNIT42)
Royaume-Uni : +44.20.3743.3660
Europe et Moyen-Orient : +31.20.299.3130
Asie : +65.6983.8730
Japon : +81.50.1790.0200
Australie : +61.2.4062.7950
Inde : 000 800 050 45107
Corée du Sud : +82.080.467.8774

Cortex XDR et XSIAM

Cortex XDR et XSIAM aident à protéger contre les activités de post-exploitation en utilisant l'approche de protection multicouche.

Cortex Xpanse

Cortex Xpanse est conçu pour identifier les appareils MongoDB exposés sur l'Internet public et remonter ces résultats aux défenseurs. Les clients peuvent activer des alertes sur ce risque en s'assurant que les règles de surface d'attaque (Attack Surface Rules) "MongoDB Server" et "Insecure MongoDB Server" sont activées.

Le Cortex Attack Surface Testing (AST) peut également valider si les instances MongoDB exposées sont vulnérables à l'exploitation en exécutant des vérifications PoC bénignes.

Les résultats identifiés peuvent être consultés soit dans le Threat Response Center, soit dans la vue des incidents d'Expander. Ces résultats sont également disponibles pour les clients Cortex XSIAM ayant acheté le module de gestion de la surface d'attaque (ASM).

Cortex Cloud

Cortex Cloud peut aider à détecter les ressources hébergées dans le cloud vulnérables à la CVE-2025-14847 grâce au placement approprié de l'agent Cortex Cloud XDR endpoint et des agents serverless au sein d'un environnement cloud.

Alors que l'offre de service géré de MongoDB a été automatiquement corrigée par l'équipe d'ingénierie de sécurité de MongoDB, les instances cloud auto-hébergées peuvent toujours être vulnérables. Cortex Cloud est conçu pour fournir une découverte des instances MongoDB auto-hébergées sur Amazon Web Services (AWS), Azure et Google Cloud (GCP). Cela permet aux organisations de gagner en visibilité sur les actifs hébergés dans le cloud, une première étape critique pour atténuer des menaces comme MongoBleed.

De plus, Cortex Cloud dispose de règles de détection spécifiquement conçues pour identifier et alerter sur toutes les instances MongoDB auto-hébergées qui sont accessibles publiquement.

Enfin, si des identités cloud ont été divulguées à partir d'une instance MongoDB compromise, Cortex Cloud Identity Security peut aider à détecter les techniques courantes basées sur l'identité post-exploitation utilisées pour obtenir et maintenir la persistance résultant en une exploitation plus poussée des plateformes cloud.

Actualizado el 14 de enero de 2026, a la 1:05 p. m. PT, para eliminar la palabra «vulnerables» de la frase sobre los servidores expuestos.

Étiquettes

Threat Research Center SuivantLe VVS Discord Stealer utilise Pyarmor pour l'offuscation et l'évasion de détection

Bulletin de menaces : Vulnérabilité MongoDB (CVE-2025-14847)

Synthèse