La vulnérabilité « CVE-2025-14847 », connue sous le nom de « MongoBleed » et affectant MongoDB Server, fait actuellement l’objet d’une exploitation active. Un bulletin de sécurité du maCERT/DGSSI (réf. 59562312/25) a été publié à ce sujet, faisant état de plus de 87 000 instances potentiellement vulnérables à l’échelle mondiale.

Cette vulnérabilité permet à un attaquant non authentifié d’extraire des données sensibles directement depuis la mémoire du serveur MongoDB.

La vulnérabilité réside dans l’implémentation du mécanisme de décompression des messages réseau utilisant zlib (message_compressor_zlib.cpp). Une mauvaise gestion de la longueur des données décompressées permet à un attaquant d’envoyer des paquets compressés malformés, provoquant la lecture de zones mémoire non initialisées (heap memory).

Cette faille peut conduire à la divulgation progressive d’informations sensibles, notamment :

• Données utilisateurs ;

• Identifiants ;

• Mots de passe ;

• Clés API et secrets applicatifs ;

L’option zlib compression est activée par défaut, ce qui augmente considérablement la surface d’attaque.

Il est fortement recommander de : 

• Mettre à jour MongoDB sans délai vers les versions corrigées :

  • MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, ou 4.4.30. 

• À titre de mesure temporaire (si la mise à jour immédiate n’est pas possible), désactiver la compression zlib  

• Interdire l’accès public aux ports MongoDB ;

• Surveiller les journaux MongoDB pour détecter des connexions anormales;

• Mettre en place des alertes pour identifier tout trafic suspect.