◆概要
2025 年 12 月に公開された MongoDB の脆弱性の悪用を試みるエクスプロイトコードが公開されています。脆弱性の悪用により、MongoDB に保存されている機密情報が漏洩する可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は MongoDB に認証していない状態でも悪用できるものであり、対象の MongoDB にアクセスできれば発現するものです。悪用しやすさと製品の利用者数から、脆弱性は Mongobleed という俗称で呼ばれており、攻撃者からの注目度が高い脆弱性であると考えられます。また、ソフトウェアの性質上、インターネットから直接的にアクセスできる状況は好ましくないため、ソフトウェアのアップデートによる対策とともに、ネットワークからのアクセス制御設定の見直しを推奨します。
◆深刻度(CVSS)
[CVSS v4]
8.7
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2025-14847&vector=AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N&version=4.0&source=MongoDB,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの MongoDB が当該脆弱性の影響を受けると報告されています。
* 8.2 系 - 8.2.0 から 8.2.2 まで
* 8.0 系 - 8.0.0 から 8.0.16 まで
* 7.0 系 - 7.0.0 から 7.0.27 まで
* 6.0 系 - 6.0.0 から 6.0.26 まで
* 5.0 系 - 5.0.0 から 5.0.31 まで
* 4.4 系 - 4.4.0 から 4.4.29 まで
* 4.2 系 - 4.2.0 より新しいバージョン
* 4.0 系 - 4.0.0 より新しいバージョン
* 3.6 系 - 3.6.0 より新しいバージョン
◆解説
NoSQL によりデータベースを管理するソフトウェア製品として世界的に利用されている MongoDB に、遠隔からのデータベース情報の漏洩につながる脆弱性が報告されています。
脆弱性は、MongoDB における zlib 圧縮メッセージの処理に存在します。脆弱な MongoDB の圧縮データ読み取り処理では、パケットに設定された圧縮解除後のデータ長をそのまま用いて応答を返します。よって攻撃者は、実際よりも過剰に大きなサイズを指定したパケットで圧縮メッセージを送信することで、指定されたサイズから実際のデータを引いた分だけ MongoDB からデータを漏洩させることが可能です。
◆対策
MongoDB を以下のバージョンまたはそれよりも新しいバージョンにアップデートしてください。
* 8.2 系 - 8.2.3
* 8.0 系 - 8.0.17
* 7.0 系 - 7.0.28
* 6.0 系 - 6.0.27
* 5.0 系 - 5.0.32
* 4.4 系 - 4.4.30
◆関連情報
[1] MongoDB 公式 GitHub
https://github.com/mongodb/mongo/commit/505b660a14698bd2b5233bd94da3917b585c5728
[2] OX ブログ
https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-14847
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-14847
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からのメモリ情報漏洩を試みるエクスプロイトコードが公開されています。
GitHub - joe-desimone/mongobleed
https://github.com/joe-desimone/mongobleed/blob/main/mongobleed.py
#--- で始まる行は執筆者によるコメントです。
2025 年 12 月に公開された MongoDB の脆弱性の悪用を試みるエクスプロイトコードが公開されています。脆弱性の悪用により、MongoDB に保存されている機密情報が漏洩する可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は MongoDB に認証していない状態でも悪用できるものであり、対象の MongoDB にアクセスできれば発現するものです。悪用しやすさと製品の利用者数から、脆弱性は Mongobleed という俗称で呼ばれており、攻撃者からの注目度が高い脆弱性であると考えられます。また、ソフトウェアの性質上、インターネットから直接的にアクセスできる状況は好ましくないため、ソフトウェアのアップデートによる対策とともに、ネットワークからのアクセス制御設定の見直しを推奨します。
◆深刻度(CVSS)
[CVSS v4]
8.7
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2025-14847&vector=AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N&version=4.0&source=MongoDB,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの MongoDB が当該脆弱性の影響を受けると報告されています。
* 8.2 系 - 8.2.0 から 8.2.2 まで
* 8.0 系 - 8.0.0 から 8.0.16 まで
* 7.0 系 - 7.0.0 から 7.0.27 まで
* 6.0 系 - 6.0.0 から 6.0.26 まで
* 5.0 系 - 5.0.0 から 5.0.31 まで
* 4.4 系 - 4.4.0 から 4.4.29 まで
* 4.2 系 - 4.2.0 より新しいバージョン
* 4.0 系 - 4.0.0 より新しいバージョン
* 3.6 系 - 3.6.0 より新しいバージョン
◆解説
NoSQL によりデータベースを管理するソフトウェア製品として世界的に利用されている MongoDB に、遠隔からのデータベース情報の漏洩につながる脆弱性が報告されています。
脆弱性は、MongoDB における zlib 圧縮メッセージの処理に存在します。脆弱な MongoDB の圧縮データ読み取り処理では、パケットに設定された圧縮解除後のデータ長をそのまま用いて応答を返します。よって攻撃者は、実際よりも過剰に大きなサイズを指定したパケットで圧縮メッセージを送信することで、指定されたサイズから実際のデータを引いた分だけ MongoDB からデータを漏洩させることが可能です。
◆対策
MongoDB を以下のバージョンまたはそれよりも新しいバージョンにアップデートしてください。
* 8.2 系 - 8.2.3
* 8.0 系 - 8.0.17
* 7.0 系 - 7.0.28
* 6.0 系 - 6.0.27
* 5.0 系 - 5.0.32
* 4.4 系 - 4.4.30
◆関連情報
[1] MongoDB 公式 GitHub
https://github.com/mongodb/mongo/commit/505b660a14698bd2b5233bd94da3917b585c5728
[2] OX ブログ
https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-14847
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-14847
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からのメモリ情報漏洩を試みるエクスプロイトコードが公開されています。
GitHub - joe-desimone/mongobleed
https://github.com/joe-desimone/mongobleed/blob/main/mongobleed.py
#--- で始まる行は執筆者によるコメントです。
