Pembaruan 26/12/25: Artikel diperbarui untuk memperbaiki bahwa cacat tersebut belum secara resmi diklasifikasikan sebagai RCE.
MongoDB telah memperingatkan admin TI untuk segera menambal kerentanan pembacaan memori dengan tingkat keparahan tinggi yang mungkin dieksploitasi oleh penyerang yang tidak diautentikasi dari jarak jauh.
Dilacak sebagai CVE-2025-14847kelemahan keamanan mempengaruhi beberapa versi Server MongoDB dan MongoDB dan dapat disalahgunakan oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
“Eksploitasi sisi klien dari implementasi zlib Server dapat mengembalikan memori heap yang tidak diinisialisasi tanpa mengautentikasi ke server. Kami sangat menyarankan untuk meningkatkan ke versi tetap sesegera mungkin,” tim keamanan MongoDB kata dalam penasehat hari Jumat.
“Kami sangat menyarankan Anda segera memutakhirkan. Jika Anda tidak dapat segera memutakhirkan, nonaktifkan kompresi zlib di Server MongoDB dengan memulai mongod atau mongos dengan opsi networkMessageCompressors atau net.compression.compressors yang secara eksplisit menghilangkan zlib.”
CVE-2025-14847 disebabkan oleh penanganan inkonsistensi parameter panjang yang tidak tepat, yang menurut terkait Klasifikasi CWE-130berpotensi memungkinkan penyerang mengeksekusi kode arbitrer dan berpotensi mendapatkan kendali atas perangkat yang ditargetkan dalam beberapa kasus.
Untuk menambal kelemahan keamanan dan memblokir potensi serangan, admin disarankan untuk segera mengupgrade ke MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, atau 4.4.30.
Kerentanan ini berdampak pada versi MongoDB berikut:
- MongoDB 8.2.0 hingga 8.2.3
- MongoDB 8.0.0 hingga 8.0.16
- MongoDB 7.0.0 hingga 7.0.26
- MongoDB 6.0.0 hingga 6.0.26
- MongoDB 5.0.0 hingga 5.0.31
- MongoDB 4.4.0 hingga 4.4.29
- Semua versi MongoDB Server v4.2
- Semua versi MongoDB Server v4.0
- Semua versi MongoDB Server v3.6
Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan cacat RCE mongo-express MongoDB (CVE-2019-10758) ke dalam katalog kerentanan yang diketahui dieksploitasi empat tahun lalu, menandainya sebagai dieksploitasi secara aktif dan memerintahkan lembaga federal untuk mengamankan sistem mereka, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
MongoDB adalah sistem manajemen basis data non-relasional (DBMS) populer yang, tidak seperti basis data relasional seperti PostgreSQL dan MySQL, menyimpan data dalam dokumen BSON (Binary JSON) dan bukan dalam tabel.
Perangkat lunak database ini digunakan oleh lebih dari 62.500 pelanggan di seluruh dunia, termasuk puluhan perusahaan Fortune 500.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
