{"id":170552,"date":"2026-01-13T08:11:04","date_gmt":"2026-01-13T16:11:04","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=170552"},"modified":"2026-01-14T13:46:13","modified_gmt":"2026-01-14T21:46:13","slug":"mongobleed-cve-2025-14847","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/","title":{"rendered":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)"},"content":{"rendered":"<h2><a id=\"post-170552-_6epl7bcozf5j\"><\/a>Synth\u00e8se<\/h2>\n<p>Le 19 d\u00e9cembre 2025, MongoDB a publiquement divulgu\u00e9<a href=\"https:\/\/www.mongodb.com\/company\/blog\/news\/mongodb-server-security-update-december-2025\" target=\"_blank\" rel=\"noopener\"> MongoBleed<\/a>, une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 (<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-14847\" target=\"_blank\" rel=\"noopener\">CVE-2025-14847<\/a>) permettant \u00e0 des attaquants non authentifi\u00e9s de faire fuiter des donn\u00e9es sensibles de la m\u00e9moire <span style=\"font-weight: 400;\">dynamique<\/span> (heap) en exploitant un probl\u00e8me de confiance dans la mani\u00e8re dont MongoDB Server traite les messages r\u00e9seau compress\u00e9s avec <span style=\"font-family: 'courier new', courier, monospace;\">zlib<\/span>. Cette faille intervient avant l'authentification, ce qui signifie qu'un attaquant a seulement besoin d'un acc\u00e8s r\u00e9seau au port par d\u00e9faut de la base de donn\u00e9es pour la d\u00e9clencher.<\/p>\n<p>Les d\u00e9tails cl\u00e9s de la menace sont r\u00e9sum\u00e9s ci-dessous :<\/p>\n<ul>\n<li><strong>Vuln\u00e9rabilit\u00e9 :<\/strong> La<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-14847\" target=\"_blank\" rel=\"noopener\"> CVE-2025-14847<\/a> est une vuln\u00e9rabilit\u00e9 critique de divulgation de m\u00e9moire sans authentification dans la gestion des messages compress\u00e9s <span style=\"font-family: 'courier new', courier, monospace;\">zlib<\/span> par MongoDB Server (CVSS 8.7).<\/li>\n<li><strong>Impact :<\/strong> <span style=\"font-weight: 400;\">Cette m\u00e9moire peut contenir des donn\u00e9es sensibles telles que des identifiants en clair, des cl\u00e9s API, des jetons de session et des donn\u00e9es \u00e0 caract\u00e8re personnel (DCP\/PII).<\/span><\/li>\n<li><strong>Statut :<\/strong> Exploitation active confirm\u00e9e dans la nature. Une preuve de concept (PoC) publique est disponible. L'agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a ajout\u00e9 cette vuln\u00e9rabilit\u00e9 \u00e0 son catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV)<a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/12\/29\/cisa-adds-one-known-exploited-vulnerability-catalog\" target=\"_blank\" rel=\"noopener\"> le 29 d\u00e9cembre 2025<\/a>, sur la base de preuves d'exploitation active.<\/li>\n<\/ul>\n<p>Cortex Xpanse identific\u00f3 aproximadamente 146 000 instancias de MongoDB expuestas a Internet.<\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d'une protection renforc\u00e9e contre les activit\u00e9s li\u00e9es \u00e0 la CVE-2025-14847 gr\u00e2ce aux produits et services suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> peuvent aider \u00e0 prot\u00e9ger contre les activit\u00e9s de post-exploitation gr\u00e2ce \u00e0 une approche de protection multicouche.<\/li>\n<li><a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.google.com\/url%3Fq%3Dhttps:\/\/www.paloaltonetworks.com\/cortex\/cloud\/demo%3Futm_source%253Dgoogle-jg-amer-prisma_cloud-scpc-cstp%2526utm_medium%253Dpaid_search%2526utm_campaign%253Dgoogle-prisma_cloud-cloud_st_portfolio-amer-multi-lead_gen-en-brand%2526utm_content%253D701Ki000000LqJaIAK%2526utm_term%253Dcortex%252520cloud%2526cq_plac%253D%2526cq_net%253Dg%2526gad_source%253D1%2526gad_campaignid%253D22212528892%2526gbraid%253D0AAAAADHVeKllQ-_yV2xRPxFm_qsmQQqso%2526gclid%253DCj0KCQiA1JLLBhCDARIsAAVfy7iVuJVJtyKgsK4L7UP0AcRhOQV3LDGHeeQ0FGJwUx84T4bNphe_55UaAqPQEALw_wcB%26sa%3DD%26source%3Deditors%26ust%3D1768343216545065%26usg%3DAOvVaw2mIKycrDnA69N4uOkdHlG_\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> peut aider \u00e0<a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/vulnerability-management\"> d\u00e9tecter<\/a> les ressources h\u00e9berg\u00e9es dans le cloud vuln\u00e9rables \u00e0 la CVE-2025-14847.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> peut aider \u00e0 identifier les appareils MongoDB expos\u00e9s sur l'Internet public et \u00e0 remonter ces d\u00e9couvertes aux d\u00e9fenseurs.<\/li>\n<\/ul>\n<p>L'\u00e9quipe de<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> r\u00e9ponse aux incidents de Unit 42<\/a> peut \u00e9galement \u00eatre sollicit\u00e9e pour aider en cas de compromission ou pour fournir une \u00e9valuation proactive afin de r\u00e9duire vos risques.<\/p>\n<table style=\"width: 97.9499%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Vuln\u00e9rabilit\u00e9s abord\u00e9es<\/b><\/td>\n<td style=\"width: 187.159%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-14847\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2025-14847<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-170552-_2p3fwqwvtr90\"><\/a>D\u00e9tails de la CVE-2025-14847<\/h2>\n<p>La vuln\u00e9rabilit\u00e9 MongoBleed trouve son origine dans la mani\u00e8re dont MongoDB traite les messages du protocole <span style=\"font-weight: 400;\">r\u00e9seau<\/span> (wire protocol) compress\u00e9s avec <span style=\"font-family: 'courier new', courier, monospace;\">zlib<\/span>, une fonctionnalit\u00e9 activ\u00e9e par d\u00e9faut. La communication est g\u00e9r\u00e9e via un en-t\u00eate<a href=\"https:\/\/www.mongodb.com\/docs\/manual\/reference\/mongodb-wire-protocol\/\" target=\"_blank\" rel=\"noopener\"> <span style=\"font-family: 'courier new', courier, monospace;\">OP_COMPRESSED<\/span><\/a><span style=\"font-family: 'courier new', courier, monospace;\">,<\/span> qui encapsule la charge utile du message original et inclut un champ sp\u00e9cifiant la taille attendue des donn\u00e9es non compress\u00e9es.<\/p>\n<p>Le m\u00e9canisme d'attaque s'ex\u00e9cute de la mani\u00e8re suivante :<\/p>\n<ul>\n<li>Un attaquant non authentifi\u00e9 envoie un message compress\u00e9 sp\u00e9cialement con\u00e7u \u00e0 un serveur MongoDB vuln\u00e9rable.<\/li>\n<li>L'attaquant manipule le champ <span style=\"font-family: 'courier new', courier, monospace;\">uncompressedSize<\/span> au sein de l'en-t\u00eate <span style=\"font-family: 'courier new', courier, monospace;\">OP_COMPRESSED<\/span>, en le d\u00e9finissant sur une valeur significativement plus grande que la charge utile compress\u00e9e r\u00e9elle.<\/li>\n<li>Le serveur ne parvient pas \u00e0 valider cette valeur et alloue un tampon m\u00e9moire surdimensionn\u00e9 bas\u00e9 sur la taille sp\u00e9cifi\u00e9e par l'attaquant. Ce tampon est rempli avec de la m\u00e9moire tas non initialis\u00e9e, vestiges de donn\u00e9es pr\u00e9c\u00e9demment trait\u00e9es.<\/li>\n<li>La fuite est amplifi\u00e9e par la logique de gestion des erreurs de MongoDB. Lorsque l'objet<a href=\"https:\/\/www.mongodb.com\/docs\/manual\/reference\/bson-types\/\" target=\"_blank\" rel=\"noopener\"> BSON<\/a> malform\u00e9 de l'attaquant est envoy\u00e9 sans terminateur <span style=\"font-family: 'courier new', courier, monospace;\">null<\/span>, le serveur tente d'analyser la m\u00e9moire jusqu'\u00e0 ce qu'il rencontre un terminateur <span style=\"font-family: 'courier new', courier, monospace;\">null<\/span>. Lorsque l'analyse \u00e9choue finalement, le serveur renvoie une r\u00e9ponse d'erreur qui inclut \u00e0 la fois le message malveillant d'origine et le contenu de la m\u00e9moire tas divulgu\u00e9e.<\/li>\n<\/ul>\n<p>Il est important de noter que MongoDB a automatiquement appliqu\u00e9 le correctif aux clients g\u00e9r\u00e9s MongoDB Atlas, ce qui signifie que les serveurs MongoDB auto-h\u00e9berg\u00e9s n\u00e9cessitent une application manuelle du correctif.<\/p>\n<p>Ce processus permet \u00e0 un attaquant de faire fuiter progressivement de larges portions de la m\u00e9moire du serveur en envoyant des requ\u00eates malform\u00e9es r\u00e9p\u00e9t\u00e9es.<\/p>\n<h3><a id=\"post-170552-_wun84479w3fp\"><\/a><strong>Vecteur d'attaque<\/strong> et<strong> impact<\/strong><\/h3>\n<p>Le vecteur d'attaque est enti\u00e8rement distant, sans authentification et ne n\u00e9cessite aucune interaction de l'utilisateur. Un adversaire a seulement besoin d'un acc\u00e8s r\u00e9seau au<a href=\"https:\/\/www.mongodb.com\/docs\/manual\/reference\/default-mongodb-port\/\" target=\"_blank\" rel=\"noopener\"> port MongoDB par d\u00e9faut<\/a> (TCP\/27017) pour exploiter la faille.<\/p>\n<p>L'impact principal est une perte de donn\u00e9es de haute confidentialit\u00e9. Bien que MongoBleed se limite \u00e0 une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire en lecture seule et ne permette pas l'ex\u00e9cution de code \u00e0 distance, l'importance strat\u00e9gique des informations qui peuvent \u00eatre divulgu\u00e9es est vaste. Les attaquants pourraient exploiter les secrets divulgu\u00e9s pour permettre une compromission ult\u00e9rieure du syst\u00e8me, l'exfiltration de donn\u00e9es et le mouvement lat\u00e9ral.<\/p>\n<p>Cette vuln\u00e9rabilit\u00e9 affecte les versions MongoDB suivantes :<\/p>\n<ul>\n<li>Version 8.2 : 8.2.0 \u2013 8.2.2<\/li>\n<li>Version 8.0 : 8.0.0 \u2013 8.0.16<\/li>\n<li>Version 7.0 : 7.0.0 \u2013 7.0.27<\/li>\n<li>Version 6.0 : 6.0.0 \u2013 6.0.26<\/li>\n<li>Version 5.0 : 5.0.0 \u2013 5.0.31<\/li>\n<li>Version 4.4 : 4.4.0 \u2013 4.4.29<\/li>\n<\/ul>\n<p>En fin de vie (aucun correctif disponible) :<\/p>\n<ul>\n<li>Toutes les versions v4.2<\/li>\n<li>Toutes les versions v4.0<\/li>\n<li>Toutes les versions v3.6<\/li>\n<\/ul>\n<h2><a id=\"post-170552-_eivg5jvvu0e6\"><\/a>Port\u00e9e actuelle de l'attaque utilisant la CVE-2025-14847<\/h2>\n<p>La menace pos\u00e9e par MongoBleed n'est pas th\u00e9orique. Une PoC d'exploitation publique fonctionnelle a \u00e9t\u00e9 publi\u00e9e sur GitHub le 26 d\u00e9cembre 2025. Des chercheurs en s\u00e9curit\u00e9 ont observ\u00e9 une exploitation active dans la nature peu apr\u00e8s la divulgation de la vuln\u00e9rabilit\u00e9.<\/p>\n<p>La confirmation officielle de l'exploitation active est arriv\u00e9e le 29 d\u00e9cembre 2025, lorsque la CISA am\u00e9ricaine a ajout\u00e9 la CVE-2025-14847 \u00e0 son catalogue KEV, obligeant les agences f\u00e9d\u00e9rales \u00e0 corriger la faille.<\/p>\n<p>Cortex Xpanse a identifi\u00e9 environ 146 000 instances vuln\u00e9rables de MongoDB expos\u00e9es sur Internet, fournissant une m\u00e9trique tangible de la surface d'attaque mondiale.<\/p>\n<h2><a id=\"post-170552-_hzs5ttm6gzsu\"><\/a>Conseils provisoires<\/h2>\n<p>Si l'application imm\u00e9diate du correctif n'est pas r\u00e9alisable, les mesures temporaires suivantes doivent \u00eatre envisag\u00e9es pour aider \u00e0 r\u00e9duire le risque :<\/p>\n<ol>\n<li><strong>Segmentation du r\u00e9seau :<\/strong> R\u00e9duisez l'exposition en bloquant tout acc\u00e8s entrant depuis Internet aux instances MongoDB sur le port TCP\/27017. Les connexions doivent \u00eatre restreintes au niveau du r\u00e9seau aux seules sources explicitement approuv\u00e9es.<\/li>\n<li><strong>D\u00e9sactiver la compression <span style=\"font-family: 'courier new', courier, monospace;\">zlib<\/span> :<\/strong> Comme solution de contournement temporaire, d\u00e9sactivez le support de la compression <span style=\"font-family: 'courier new', courier, monospace;\">zlib<\/span> dans la configuration de MongoDB. Cette action emp\u00eache le chemin de code vuln\u00e9rable d'\u00eatre d\u00e9clench\u00e9. Les alternatives s\u00fbres incluent <span style=\"font-family: 'courier new', courier, monospace;\">snappy, zstd<\/span> ou la d\u00e9sactivation totale de la compression.<\/li>\n<\/ol>\n<p>Veuillez vous r\u00e9f\u00e9rer au<a href=\"https:\/\/jira.mongodb.org\/browse\/SERVER-115508\" target=\"_blank\" rel=\"noopener\"> suivi des tickets maintenu par MongoDB<\/a> pour des suggestions suppl\u00e9mentaires et des mises \u00e0 jour.<\/p>\n<h2><a id=\"post-170552-_n2kx0vckozzt\"><\/a>Requ\u00eates de Threat Hunting g\u00e9r\u00e9es par Unit 42<\/h2>\n<p>L'\u00e9quipe Managed Threat Hunting de Unit 42 continue de suivre toute tentative d'exploitation de cette CVE chez nos clients de services g\u00e9r\u00e9s, en utilisant la t\u00e9l\u00e9m\u00e9trie disponible dans Cortex XDR. Les clients Cortex XDR qui n'utilisent pas les services g\u00e9r\u00e9s de Unit 42 peuvent \u00e9galement utiliser la requ\u00eate XQL suivante pour rechercher des signes d'exploitation.<\/p>\n<p>La requ\u00eate suivante tente d'identifier un nombre \u00e9lev\u00e9 de connexions r\u00e9seau vers des serveurs MongoDB. Les r\u00e9sultats de cette requ\u00eate n'indiquent pas explicitement une exploitation, mais peuvent \u00eatre utilis\u00e9s pour signaler des syst\u00e8mes n\u00e9cessitant un examen plus approfondi.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Description: High Velocity network connection to MongoDB server may indicate exploitation of MongoBleed (CVE-2025-14847)\r\n\r\n\/\/ Notes: Review the source IP of the requests and the host IP addresses. Validate they are not the same. If the IPs are on the same subnet it may be due to routing or load-balancing configuration.\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = ENUM.NETWORK\r\n\r\n| filter lowercase(actor_process_image_name) in (\"mongod\", \"mongod.exe\")\r\n\r\n| filter action_network_is_server = true\r\n\r\n\/\/ Filter for non-RFC1918 IP addresses. To include all IPs (depending on routing configuration it is possible traffic may have the internal IP of a load balancer, proxy, router, or firewall) comment the following line.\r\n\r\n| filter action_remote_ip not in (null, \"\")\r\n\r\n| filter incidr(action_remote_ip, \"10.0.0.0\/8\") != true and \/\/ RFC1918\r\n\r\nincidr(action_remote_ip, \"192.168.0.0\/16\") != true and \/\/ RFC1918\r\n\r\nincidr(action_remote_ip, \"172.16.0.0\/12\") != true and \/\/ RFC1918\r\n\r\nincidr(action_remote_ip, \"127.0.0.0\/8\") != true and \/\/ Loopback\r\n\r\nincidr(action_remote_ip, \"169.254.0.0\/16\") != true and \/\/ Link Local\r\n\r\nincidr(action_remote_ip, \"224.0.0.0\/4\") != true and \/\/ Multicast\r\n\r\nincidr(action_remote_ip, \"255.255.255.255\/32\") != true and \/\/ Broadcast\r\n\r\nincidr(action_remote_ip, \"198.18.0.0\/15\") != true \/\/ Reserved\r\n\r\n| fields _time, agent_hostname, agent_id, actor_effective_username, agent_ip_addresses, agent_external_ip, actor_process_image_name, actor_process_image_path, action_local_ip, action_local_port, action_remote_ip, action_remote_port, action_remote_ip_enrichment, action_network_app_ids, action_network_connection_id, action_network_dpi_fields, action_network_packet_data, action_network_protocol, action_network_session_duration, action_upload, action_download\r\n\r\n| filter action_network_session_duration &lt;= 5000\r\n\r\n| bin _time span = 1m\r\n\r\n| comp count(_time) as Counter, values(agent_ip_addresses) as agent_ip_addresses, values(agent_external_ip) as agent_external_ip, values(action_local_port) as Local_ports, count_distinct(action_local_port) as Local_port_Count by agent_hostname, action_remote_ip, _time\r\n\r\n\/\/ Identify source IPs with a high volume of connections per Minute. This number can be increased or decreased as needed. The higher the number the greater the chance of malicious activity, while the lower the number the broader the scope\/ ability to identify activity.\r\n\r\n| filter Counter &gt;= 500<\/pre>\n<h2><a id=\"post-170552-_e550kvga0et\"><\/a>Conclusion<\/h2>\n<p>Bien que MongoBleed porte un niveau de s\u00e9v\u00e9rit\u00e9 Critique, son <span style=\"font-weight: 400;\">exploitation<\/span> r\u00e9ussie contre une entreprise surveill\u00e9e est op\u00e9rationnellement difficile. En raison du retour de fragments de donn\u00e9es al\u00e9atoires et non structur\u00e9s depuis un serveur exploit\u00e9, capturer des donn\u00e9es pr\u00e9cieuses n\u00e9cessite qu'un attaquant inonde le serveur de milliers de requ\u00eates.<\/p>\n<p>Cela rend toute exploitation rentable de MongoBleed \u00e9quivalente \u00e0 une intrusion bruyante, cr\u00e9ant une empreinte que les heuristiques standard et les contr\u00f4les de limitation de d\u00e9bit (rate-limiting) devraient \u00eatre bien con\u00e7us pour d\u00e9tecter et bloquer bien avant qu'une exfiltration significative de donn\u00e9es ne se produise g\u00e9n\u00e9ralement.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s par nos produits, comme indiqu\u00e9 ci-dessous.<\/p>\n<h2><a id=\"post-170552-_uyvlmcbc14qa\"><\/a>Protections des produits Palo Alto Networks pour la CVE-2025-14847<\/h2>\n<p>Les clients de Palo Alto Networks peuvent tirer parti d'une vari\u00e9t\u00e9 de protections produits et de services pour aider \u00e0 identifier et \u00e0 se d\u00e9fendre contre cette menace.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une urgence, contactez l'\u00e9quipe de<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> r\u00e9ponse aux incidents de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord : Num\u00e9ro vert : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud : +82.080.467.8774<\/li>\n<\/ul>\n<h3><a id=\"post-170552-_kagtd826mb01\"><\/a><strong>Cortex XDR et XSIAM<\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> aident \u00e0 prot\u00e9ger contre les activit\u00e9s de post-exploitation en utilisant l'approche de protection multicouche.<\/p>\n<h3><a id=\"post-170552-_12gnbr1jrc1m\"><\/a><strong>Cortex Xpanse<\/strong><\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> est con\u00e7u pour identifier les appareils MongoDB expos\u00e9s sur l'Internet public et remonter ces r\u00e9sultats aux d\u00e9fenseurs. Les clients peuvent activer des alertes sur ce risque en s'assurant que les r\u00e8gles de surface d'attaque (Attack Surface Rules) \"MongoDB Server\" et \"Insecure MongoDB Server\" sont activ\u00e9es.<\/p>\n<p>Le<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XPANSE\/2\/Cortex-Xpanse-Expander-User-Guide\/Attack-Surface-Testing\" target=\"_blank\" rel=\"noopener\"> Cortex Attack Surface Testing<\/a> (AST) peut \u00e9galement valider si les instances MongoDB expos\u00e9es sont vuln\u00e9rables \u00e0 l'exploitation en ex\u00e9cutant des v\u00e9rifications PoC b\u00e9nignes.<\/p>\n<p>Les r\u00e9sultats identifi\u00e9s peuvent \u00eatre consult\u00e9s soit dans le Threat Response Center, soit dans la vue des incidents d'Expander. Ces r\u00e9sultats sont \u00e9galement disponibles pour les clients<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> Cortex XSIAM<\/a> ayant achet\u00e9 le module de gestion de la surface d'attaque (ASM).<\/p>\n<h3><a id=\"post-170552-_2t3sx60me1m\"><\/a><strong>Cortex Cloud<\/strong><\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/demo?utm_source=google-jg-amer-prisma_cloud-scpc-cstp\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> peut aider \u00e0<a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/vulnerability-management\" target=\"_blank\" rel=\"noopener\"> d\u00e9tecter<\/a> les ressources h\u00e9berg\u00e9es dans le cloud vuln\u00e9rables \u00e0 la CVE-2025-14847 gr\u00e2ce au placement appropri\u00e9 de l'agent<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\"> Cortex Cloud XDR endpoint<\/a> et des<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Use-cases\" target=\"_blank\" rel=\"noopener\"> agents serverless<\/a> au sein d'un environnement cloud.<\/p>\n<p>Alors que l'offre de service g\u00e9r\u00e9 de MongoDB a \u00e9t\u00e9 automatiquement corrig\u00e9e par l'\u00e9quipe d'ing\u00e9nierie de s\u00e9curit\u00e9 de MongoDB, les instances cloud auto-h\u00e9berg\u00e9es peuvent toujours \u00eatre vuln\u00e9rables. Cortex Cloud est con\u00e7u pour fournir une d\u00e9couverte des instances MongoDB auto-h\u00e9berg\u00e9es sur Amazon Web Services (AWS), Azure et Google Cloud (GCP). Cela permet aux organisations de gagner en visibilit\u00e9 sur les actifs h\u00e9berg\u00e9s dans le cloud, une premi\u00e8re \u00e9tape critique pour att\u00e9nuer des menaces comme MongoBleed.<\/p>\n<p>De plus, Cortex Cloud dispose de r\u00e8gles de d\u00e9tection sp\u00e9cifiquement con\u00e7ues pour identifier et alerter sur toutes les instances MongoDB auto-h\u00e9berg\u00e9es qui sont accessibles publiquement.<\/p>\n<p>Enfin, si des identit\u00e9s cloud ont \u00e9t\u00e9 divulgu\u00e9es \u00e0 partir d'une instance MongoDB compromise,<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/What-is-Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\"> Cortex Cloud Identity Security<\/a> peut aider \u00e0 d\u00e9tecter les techniques courantes bas\u00e9es sur l'identit\u00e9 post-exploitation utilis\u00e9es pour obtenir et maintenir la persistance r\u00e9sultant en une exploitation plus pouss\u00e9e des plateformes cloud.<\/p>\n<p><em>Actualizado el 14 de enero de 2026, a la 1:05 p. m. PT, para eliminar la palabra \u00abvulnerables\u00bb de la frase sobre los servidores expuestos.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s'agit d'une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.<\/p>\n","protected":false},"author":23,"featured_media":170539,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9877,9876],"product_categories":[8965,8955,9041,9046,9053,9077,9064,9155,9083,9151],"coauthors":[1025],"class_list":["post-170552","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-cve-2025-14847","tag-mongodb","product_categories-advanced-threat-prevention-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xpanse-fr","product_categories-cortex-xsiam-fr","product_categories-managed-threat-hunting-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)<\/title>\n<meta name=\"description\" content=\"La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s&#039;agit d&#039;une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)\" \/>\n<meta property=\"og:description\" content=\"La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s&#039;agit d&#039;une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-13T16:11:04+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-01-14T21:46:13+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1396\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)","description":"La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s'agit d'une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/","og_locale":"fr_FR","og_type":"article","og_title":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)","og_description":"La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s'agit d'une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/","og_site_name":"Unit 42","article_published_time":"2026-01-13T16:11:04+00:00","article_modified_time":"2026-01-14T21:46:13+00:00","og_image":[{"width":2560,"height":1396,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)","datePublished":"2026-01-13T16:11:04+00:00","dateModified":"2026-01-14T21:46:13+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/"},"wordCount":1851,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg","keywords":["CVE-2025-14847","MongoDB"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/","name":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg","datePublished":"2026-01-13T16:11:04+00:00","dateModified":"2026-01-14T21:46:13+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"La plateforme de base de donn\u00e9es MongoDB a divulgu\u00e9 la CVE-2025-14847, baptis\u00e9e MongoBleed. Il s'agit d'une vuln\u00e9rabilit\u00e9 de divulgation de m\u00e9moire sans authentification avec un score CVSS de 8.7.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/AdobeStock_233494953-scaled.jpeg","width":2560,"height":1396,"caption":"Digital background image with net attack idea"},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/mongobleed-cve-2025-14847\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Bulletin de menaces : Vuln\u00e9rabilit\u00e9 MongoDB (CVE-2025-14847)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/170552","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=170552"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/170552\/revisions"}],"predecessor-version":[{"id":170559,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/170552\/revisions\/170559"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/170539"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=170552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=170552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=170552"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=170552"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=170552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}