Thought Leadership
Das Unternehmen MongoDB hat eine Warnung vor einer schweren Schwachstelle veröffentlicht, die Angreifer ohne Authentifizierung ausnutzen können.
Eine Sicherheitslücke mit hohem Schweregrad bedroht zahlreiche MongoDB-Installationen. Die unter der Kennung CVE-2025-14847 geführte Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne vorherige Anmeldung Speicherinhalte auszulesen. Die Attacken erfordern weder besondere Komplexität noch eine Mitwirkung der Nutzer.
Ursache liegt in zlib-Implementierung
Wie das Sicherheitsteam von MongoDB in einer aktuellen Mitteilung erläutert, lässt sich die zlib-Implementierung des Servers von Client-Seite aus so manipulieren, dass nicht initialisierter Heap-Speicher zurückgegeben wird. Das Unternehmen appelliert nachdrücklich an alle Administratoren, ihre Systeme unverzüglich zu aktualisieren.
Falls ein sofortiges Update nicht durchführbar ist, empfiehlt MongoDB als Übergangslösung, die zlib-Komprimierung zu deaktivieren. Dazu müssen mongod oder mongos mit entsprechenden Konfigurationsoptionen gestartet werden, die zlib explizit ausschließen.
Gefahr durch fehlerhafte Längenparameter-Verarbeitung
Die Schwachstelle resultiert aus einer unsauberen Verarbeitung inkonsistenter Längenparameter. Nach der CWE-130-Klassifizierung könnte dies unter Umständen sogar zur Ausführung beliebigen Codes und damit zur vollständigen Kompromittierung betroffener Systeme führen.
Abhilfe schaffen die gepatchten Versionen 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30, auf die Administratoren zeitnah migrieren sollten.
Breite Betroffenheit über mehrere Versionszweige
Die Verwundbarkeit zieht sich durch praktisch alle aktuell genutzten MongoDB-Versionen: Von 8.2.0 bis 8.2.3, 8.0.0 bis 8.0.16, 7.0.0 bis 7.0.26, 6.0.0 bis 6.0.26, 5.0.0 bis 5.0.31 sowie 4.4.0 bis 4.4.29. Vollständig betroffen sind zudem sämtliche Versionen der Server-Varianten 4.2, 4.0 und 3.6.
Was ist MongoDB?
MongoDB ist ein nicht-relationales Datenbankmanagementsystem (DBMS), das einen grundlegend anderen Ansatz verfolgt als klassische relationale Datenbanken wie PostgreSQL oder MySQL. Statt Daten in Tabellen zu organisieren, speichert MongoDB sie in BSON-Dokumenten, einem binären JSON-Format, das flexiblere Datenstrukturen ermöglicht.
Die NoSQL-Datenbank erfreut sich großer Beliebtheit und wird weltweit von mehr als vielen Organisationen eingesetzt, darunter zahlreiche Fortune-500-Konzerne. Die dokumentenorientierte Architektur macht MongoDB besonders attraktiv für Anwendungen mit schnell wechselnden Datenanforderungen und große Datenmengen.
