-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in MongoDB Advisory ID : NCSC-2025-0402 Versie : 1.00 Kans : medium CVE ID : CVE-2025-14847 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Handling of Length Parameter Inconsistency Uitgiftedatum : 20251227 Toepassing : MongoDB MongoDB Versie(s) : Platform(s) : Beschrijving De ontwikkelaars van MongoDB hebben een kwetsbaarheid verholpen in MongoDB. De kwetsbaarheid met kenmerk CVE-2025-14847 stelt een ongeauthenticeerde aanvaller op afstand in staat om ongeïnitialiseerd heapgeheugen uit te lezen. De oorzaak ligt in het onjuist verwerken van lengteparameters in Zlib-gecomprimeerde protocolheaders. Misbruik van de kwetsbaarheid kan leiden tot het lekken van gevoelige informatie uit het heapgeheugen, wat door een aanvaller kan worden ingezet om verdere aanvallen op het systeem uit te voeren Onderzoekers hebben een exploit gepubliceerd waarmee CVE-2025-14847 kan worden misbruikt. Het NCSC verwacht op korte termijn actief misbruik van de kwetsbaarheid. Mogelijke oplossingen De ontwikkelaars van MongoDB hebben updates uitgebracht om de kwetsbaarheid te verhelpen in versie 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 en 4.4.30. Indien het niet mogelijk is om direct te updaten, adviseren de ontwikkelaars om als mitigerende maatregel zlib-compressie uit te schakelen en gebruik te maken van een alternatief compressie- algoritme, zoals snappy of zstd. Zie de bijgevoegde referenties voor aanvullende informatie. Referenties: Reference https://jira.mongodb.org/browse/SERVER-115508 Reference https://nvd.nist.gov/vuln/detail/CVE-2025-14847 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmlPxSYACgkQytTOqyR+ cF+CcQv/UIGNDGRZhLrgFj/Ah1JP9jh27ejKlGw49UUQ+vmlIYFt1CkI24gzvtTd Mujf/HB1w6tQK/TtI9dOlZNkRDHOuc3QSuBAHGKyUFr9Jj2ClFRyRbxYA6OhUxl0 RBb4A4swNmsY20Kd/ZAFls9gb12raKB7IocxC5cWL5pox8b4B7EzwmYhHYjRInNt nY3n2U/AWQj2lRqO6Zl2NDZWmgNEw0cGEi/CwYNgqdWG99AW2EVN4M/1X7wLPRKe Gxf52M9bcRudvtwiCRZPkc866Vnm54jTTaLLWbAaY2yPFQ7gqyuSlr6ESxfeDsN1 r5WvPIhfmDFejWW/24zLbYswHKJmXuTsSf26Nlepe76Yado9bF9E+vYvmC2FyqH4 54bSmyJ1HFdgGH8vI6d5YeKQJk7YiTdR4tRsIYQJDZ2p8KF7e4DTJzeP80FBSx5O TGD/Ugq0AetJUUyRvMJBGdGuMkDAVwv3iV8OLL32/xOBdprCkfrkQT8bGD9hpqXV yWLlEsKu =SCI/ -----END PGP SIGNATURE-----