Haavoittuvuus1/2026CVSS 8.7CVE-2025-14847 (Ulkoinen linkki)
MongoDB-tietokantaohjelmiston haavoittuvuus johtaa mahdollisesti luottamuksellisen tiedon vuotamiseen ja haavoittuvuuden hyväksikäyttö on mahdollista ilman tunnistautumista. Käytännössä kaikki versiot ovat haavoittuvia ja haavoittuvuuden aktiivisesta hyväksikäytöstä on viitteitä. Korjaava päivitys on saatavilla ja sen asennusta suositellaan välittömästi.
Haavoittuvuuden kohde
Haavoittuvuus koskee MongoDB-ohjelmistoa, joka on laajasti käytetty tietokantajärjestelmä. Haavoittuvia ovat kaikki versiot noin vuodesta 2017 lähtien. Korjauksen sisältävät versiot:
8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30.
Päivitystä ei ole saatavilla ohjelmiston käyttöiältään päättyneisiin (EOL) versioihin. Tarkista tarkemmat tiedot lisätietojen linkeistä.
MongoDB voi usein olla myös toisen järjestelmän tai palvelun osa.
Mistä on kysymys?
Haavoittuvuuden avulla tunnistautumaton hyökkääjä voi oikeanlaisilla verkon yli tekemillään pyynnöillä saada järjestelmän palauttamaan sensitiivistä dataa, joka voi sisältää esimerkiksi käyttäjätunnuksia tai muita salaisuuksia, sekä henkilötietoa. Haavoittuvuuden hyväksikäyttö ei vaadi tunnuksia, vain yhteyden haavoittuvaan MongoDB-palvelimeen.
Haavoittuvuuden hyväksikäyttömenetelmä on toimiva ja tiedossa. Haavoittuvuus tunnetaan joissakin lähteissä nimellä MongoBleed.
Haavoittuvuuden vuoksi hyökkääjä voi käydä muistialueiden sisältöjä läpi lähettämällä suuren määrän haavoittuvuutta hyväksikäyttäviä pyyntöjä. Tarkemmin sanottuna haavoittuvuus mahdollistaa MongoDB:lle allokoidun alustamattoman kekomuistin sisällön vuotamisen zlib-toteutuksessa olevan puutteellisen tarkistuksen vuoksi.
Mitä voin tehdä?
Haavoittuvuuden hyväksikäyttö näkyy tyypillisesti suurina määrinä pyyntöjä ja mahdollisesti virheitä. Lokeissa tai verkkoliikenteessä voi näkyä:
- Pakkauksen purkuun ja muistinkäsittelyyn liittyviä virheilmoituksia
- Poikkeuksellisia tai virheellisesti muotoiltuja zlib-pakattuja yhteyksiä
- Toistuvia yhteyksiä ilman onnistunutta autentikointia.
Haavoittuvuus ei välttämättä mahdollista suoraan tietomurron tekemistä MongoDB-instanssiin. Haavoittuvuuden kautta vuotanutta tietoa voi kuitenkin mahdollisesti käyttää muihin palveluihin murtautumiseen ja vuotanutta tietoa voi olla hankalaa tai mahdotonta yksilöidä.
Mikäli havaitset haavoittuvuuden hyväksikäyttöä tai sen yrityksiä, ole yhteydessä Kyberturvallisuuskeskukseen.