MongoDB เตือนช่องโหว่ RCE ร้ายแรงบน MongoDB Server ให้แพตช์โดยด่วน

MongoDB ออกประกาศเตือนผู้ดูแลระบบให้อัปเดตแพตช์ช่องโหว่ระดับ High ที่ทำให้แฮกเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) บนเซิร์ฟเวอร์ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-14847 ส่งผลกระทบต่อ MongoDB หลายเวอร์ชัน ซึ่งผู้โจมตีสามารถใช้โจมตีได้โดยไม่ต้อง authentication และไม่ต้องมีการโต้ตอบจากผู้ใช้งาน โดยช่องโหว่นี้เกิดจากปัญหา improper handling of length parameter inconsistency ที่ทำให้แฮกเกอร์สามารถรันคำสั่งอันตรายและเข้าควบคุมอุปกรณ์เป้าหมายได้

เวอร์ชันที่ได้รับผลกระทบประกอบด้วย MongoDB 8.2.0 ถึง 8.2.3, MongoDB 8.0.0 ถึง 8.0.16, MongoDB 7.0.0 ถึง 7.0.26, MongoDB 6.0.0 ถึง 6.0.26, MongoDB 5.0.0 ถึง 5.0.31, MongoDB 4.4.0 ถึง 4.4.29 รวมถึง MongoDB Server v4.2, v4.0 และ v3.6 ทุกเวอร์ชัน ทีมงานด้านความปลอดภัยของ MongoDB ระบุว่าปัญหาอยู่ที่การใช้งาน zlib ที่อาจทำให้เข้าถึง uninitialized heap memory ได้โดยไม่ต้องผ่านการยืนยันตัวตน

ผู้ดูแลระบบควรอัปเดตไปยังเวอร์ชันที่แก้ไขแล้วได้แก่ MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 หรือ 4.4.30 โดยด่วน สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ให้ปิดการใช้งาน zlib compression โดยเริ่ม mongod หรือ mongos ด้วยตัวเลือก networkMessageCompressors หรือ net.compression.compressors ที่ไม่รวม zlib

ที่มา: https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/