Trusted DesignCVE-2025-14847 の詳細
CVEの情報
説明:
Mismatched length fields in Zlib compressed protocol headers may allow a read of uninitialized heap memory by an unauthenticated client. This issue affects all MongoDB Server v7.0 prior to 7.0.28 versions, MongoDB Server v8.0 versions prior to 8.0.17, MongoDB Server v8.2 versions prior to 8.2.3, MongoDB Server v6.0 versions prior to 6.0.27, MongoDB Server v5.0 versions prior to 5.0.32, MongoDB Server v4.4 versions prior to 4.4.30, MongoDB Server v4.2 versions greater than or equal to 4.2.0, MongoDB Server v4.0 versions greater than or equal to 4.0.0, and MongoDB Server v3.6 versions greater than or equal to 3.6.0.
CVE更新日: 2025-12-19 11:15:49.277000
CVSSバージョン: 4.0
CVSSスコア: 8.7
KEVの情報
KEV更新日: 2025-12-29
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.775110000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: True
CVE-2025-14847は、MongoDB Serverのzlib圧縮処理における長さフィールドの不整合が原因で、未認証の攻撃者がサーバーメモリの内容を読み取れる重大な情報漏洩脆弱性です。 Heartbleed(OpenSSL)と非常によく似た性質を持つため、MongoBleedと呼ばれています。
※漏洩範囲は「未初期化メモリの断片」であり、完全な構造化データとは限らない
【深刻度】 ・CVSSv4:8.7(High) ・CVSSv3.1:7.5(High) 深刻度は「認証不要」「ネットワーク経由」「機密情報漏洩」という点から、極めて高いリスクと評価されます。
【影響を受ける設定】 ・zlib圧縮が有効(デフォルトで有効) ・ネットワーク越しに MongoDB が公開されている場合は特に危険
→ Censysの調査で87,000インスタンスが公開状態とのことです。
【可能性のある兆候】 ・不正な圧縮パケットに対する異常な接続数の増加(zlib 解凍エラー) ・networkログに不正なメッセージ長の警告(ただし詳細は不明) ・CPU使用率の微増(大量のzlib解凍試行) ただし、Heartbleedと同様に明確な痕跡が残らない可能性が高い。
【暫定回避策(緩和策)】 MongoDB公式や各セキュリティベンダーが示す緩和策: ・zlib 圧縮を無効化する net.compression.compressorsからzlibを除外
→ これにより脆弱なコードパスが実行されなくなる ・MongoDBを外部公開しない ・ファイアウォールでアクセス制限 ・VPC 内に閉じる ・SSH トンネル経由に限定 ・認証を必ず有効化 影響は認証前に発生するが、攻撃対象を絞る効果はある ・WAF / IDSによる異常パケット検知 ・PoCが公開されているため、既知シグネチャで検知可能