MongoDB、RCEにつながる脆弱性を修正するよう警告（CVE-2025-14847）

MongoDB、RCEにつながる脆弱性を修正するよう警告（CVE-2025-14847）

BleepingComputer – December 24, 2025

MongoDBは、脆弱なサーバーを狙ったリモートコード実行攻撃に悪用される可能性のある深刻度の高い脆弱性を直ちに修正するようユーザーに警告した。

CVE-2025-14847として追跡されているこの脆弱性は、MongoDBおよびMongoDB Serverの複数バージョンに影響を及ぼし、認証されていない攻撃者が任意コードを実行し、標的デバイスを制御するリスクをもたらす。問題の原因は、レングスパラメーターの不整合による不適切な処理（CWE-130）である模様。

この脆弱性で影響を受けるMongoDBバージョンは以下の通り。

• MongoDB 8.2.0〜8.2.2
• MongoDB 8.0.0〜8.0.16
• MongoDB 7.0.0〜7.0.26
• MongoDB 6.0.0〜6.0.26
• MongoDB 5.0.0〜5.0.31
• MongoDB 4.4.0〜4.4.29
• MongoDB Server v4.2 全バージョン
• MongoDB Server v4.0 全バージョン
• MongoDB Server v3.6 全バージョン

19日に公開されたアドバイザリでは、MongoDB Server内に実装された「zlib」をクライアント側で悪用すると、サーバーへの認証なしに初期化されていないヒープメモリーが返される可能性があるため、早急に修正バージョンにすることが推奨されると伝えられた。推奨されるバージョンは次の通り。

• MongoDB 8.2.3
• MongoDB 8.0.17
• MongoDB 7.0.28
• MongoDB 6.0.27
• MongoDB 5.0.32
• MongoDB 4.4.30

更新できない場合は「mongod」または「mongos」を、zlibを明示的に除外するオプション「networkMessageCompressors」あるいは「net.compression.compressors」を使って起動し、zlib圧縮を無効にする必要があるとのこと。

MongoDBは、PostgreSQLやMySQLなどのリレーショナルデータベースとは異なり、テーブルではなくBSONドキュメントにデータ保存を行う人気の非リレーショナルデータベース管理システムで、世界中で6万社以上を顧客としている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

OSINT関連レポート

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート