إن الثغرة الأمنية عالية الخطورة في MongoDB Server، والتي ظهرت أدلة على مفهومها خلال أسبوع عيد الميلاد، أصبحت الآن قيد الاستغلال النشط، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية.
لن تكون عطلة العطلة دون ظهور ثغرة أمنية مدمرة محتملة لتعطيل حفلة PTO، وهذه الثغرة تناسب الفاتورة بالتأكيد، مع أحد الخبراء”https://x.com/cyb3rops/status/2004874264491561131?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Etweet” rel=”nofollow”> الاتصال هو – هي “basically Heartbleed for MongoDB.”
نعم، الأمر خطير.
تم تحديده على أنه”https://www.cve.org/CVERecord?id=CVE-2025-14847″ rel=”nofollow”>CVE-2025-14847، تنبع ثغرة CVSS 8.7 هذه في خادم MongoDB مفتوح المصدر المستخدم على نطاق واسع من حقول الطول غير المتطابقة في رؤوس بروتوكول zlib المضغوطة. إذا تم استغلالها باستخدام حزمة مشوهة، فيمكن لمهاجم بعيد غير مصادق عليه قراءة ذاكرة الكومة غير المهيأة. مثل OX Security”https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/” rel=”nofollow”> وأشار عشية عيد الميلاد، وهذا يعني أن المهاجم يمكن أن يكشف معلومات المستخدم وكلمات المرور ومفاتيح واجهة برمجة التطبيقات والمزيد.
“Although the attacker might need to send a large amount of requests to gather the full database, and some data might be meaningless, the more time an attacker has the more information could be gathered,” قال أوكس. كما تعلمون – الوقت الذي سيقضونه خلال عطلة عيد الميلاد بينما ينشغل مراقبو التهديد بامتصاص شراب البيض.
يطلق عليها اسم MongoBleed من قبل باحث Elastic Security الذي نشر ملف”https://github.com/joe-desimone/mongobleed/?tab=readme-ov-file” rel=”nofollow”> إثبات المفهوم في 26 ديسمبر، كانت الثغرة الأمنية في الواقع”https://jira.mongodb.org/browse/SERVER-115508″ rel=”nofollow”>تم تحديدها مرة أخرى في 15 ديسمبر وتم تصحيحها بواسطة طاقم MongoDB بعد ذلك بوقت قصير. إنه يؤثر على مجموعة واسعة من إصدارات MongoDB Server، حيث يحث MongoDB المستخدمين المتأثرين على الترقية إلى الإصدارات الثابتة على الفور.
“If you cannot upgrade immediately, disable zlib compression on the MongoDB Server,” حث صانع MongoDB.
- العيوب الخطيرة في مكتبة Mongoose تعرض MongoDB لصوص البيانات وتنفيذ التعليمات البرمجية
- تتحدث MongoDB عن عناصر الذكاء الاصطناعي الخاصة بها من خلال التحدث إلى PostgreSQL
- يتحرك عالم تكنولوجيا المعلومات بسرعة، فلماذا يتباطأ المسؤولون في الترقية؟
- يدحض MongoDB الادعاءات بأنه غير جاهز لأعباء العمل الهامة للأعمال
أي خادم MongoDB مكشوف على الإنترنت يشغل إصدارًا ضعيفًا يكون مفتوحًا للهجوم، ولاحظت OX أن الخوادم الخاصة التي يمكن الوصول إليها من خلال الحركة الجانبية بواسطة المهاجمين جاهزة أيضًا للانتزاع، في حالة اكتشافها.
تنبع تفاصيل الثغرة الأمنية من طبقة نقل الشبكة الخاصة بـ MongoDB، والتي لاحظت OX أنها قد تضطر إلى تخصيص أو معالجة مخازن مؤقتة صغيرة الحجم أثناء إلغاء ضغط رسائل الشبكة. تم ترميز ضاغط رسائل zlib الذي يستخدمه MongoDB، قبل نشر التصحيح لإصلاح المشكلة، لإرجاع طول الإخراج بدلاً من الطول الفعلي للبيانات التي تم فك ضغطها فقط، مما يعني أنه يمكن خداعه لإراقة كل ما كان موجودًا في الذاكرة المخصصة بدلاً من الطول الحقيقي فقط للبيانات التي تم فك ضغطها. أُووبس.
“This type of vulnerability is a frequent attack vector for malicious cyber actors and poses significant risks to the federal enterprise,” CISA”https://www.cisa.gov/news-events/alerts/2025/12/29/cisa-adds-one-known-exploited-vulnerability-catalog” rel=”nofollow”>لاحظ في إضافتها يوم الاثنين لـ MongoBleed إلى كتالوج الثغرات الأمنية المستغلة المعروفة.
مرحبًا بعودتك من العطلة، سواء عدت كما هو مقرر أو للتعامل مع هذه الثغرة الأمنية التي تم استغلالها بشكل نشط، والتي ظهرت على الويب بينما كان سانتا يستعد لتقديم الهدايا. نأمل أن يستخدم مزود قاعدة بيانات مختلفًا، أو أن يكون قد تم تصحيح أنظمته بالفعل. ®