Close Menu
Login
المراقب الأمني
الثغرات الأمنية

ثغرة جديدة في MongoDB تسمح للمهاجمين بقراءة الذاكرة غير المهيأة

فريق التحريربواسطة 2 دقائق10 زيارة

كشفت تقارير أمنية عن ثغرة أمنية خطيرة في قاعدة بيانات MongoDB، تحمل اسم CVE-2025-14847، والتي تسمح للمهاجمين غير المصرح لهم بقراءة بيانات غير مهيأة من ذاكرة الكومة.

تم تصنيف هذه الثغرة ذات الخطورة العالية (بتقييم CVSS يبلغ 8.7) على أنها ضعف في معالجة تناقضات معلمات الطول، وهي مشكلة تحدث عندما يفشل البرنامج في التعامل بشكل صحيح مع المواقف التي يكون فيها مجال الطول غير متناسق مع الطول الفعلي للبيانات المرتبطة به.

ثغرة MongoDB تسمح بقراءة بيانات حساسة

وبحسب الوصف الرسمي للثغرة، فإن حقول الطول غير المتطابقة في رؤوس بروتوكول Zlib المضغوط يمكن أن تسمح بقراءة غير مهيأة لذاكرة الكومة من قبل عميل غير مصادق عليه.

هذا يعني أن المهاجم، دون الحاجة إلى أي تصريح وصول، يمكنه استغلال هذه الثغرة لقراءة معلومات قد تكون حساسة أو مهمة لاستخدامها في هجمات مستقبلية.

الإصدارات المتأثرة بـ ثغرة MongoDB

تؤثر هذه الثغرة على عدة إصدارات من قاعدة بيانات MongoDB، وتشمل:

  • MongoDB 8.2.0 إلى 8.2.3
  • MongoDB 8.0.0 إلى 8.0.16
  • MongoDB 7.0.0 إلى 7.0.26
  • MongoDB 6.0.0 إلى 6.0.26
  • MongoDB 5.0.0 إلى 5.0.31
  • MongoDB 4.4.0 إلى 4.4.29
  • جميع إصدارات MongoDB Server v4.2
  • جميع إصدارات MongoDB Server v4.0
  • جميع إصدارات MongoDB Server v3.6

وقد تم بالفعل معالجة هذه المشكلة في الإصدارات الأحدث من MongoDB، بما في ذلك 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32، و 4.4.30.

وفي هذا السياق، أوضحت MongoDB أن استغلال ثغرة zlib من جانب العميل يمكن أن يؤدي إلى إرجاع بيانات غير مهيأة من ذاكرة الكومة على الخادم دون الحاجة إلى المصادقة. وتوصي الشركة بشدة بالترقية إلى إصدار ثابت في أقرب وقت ممكن.

الحلول البديلة المتاحة

في حال لم يكن التحديث الفوري خياراً متاحاً، يُنصح بتعطيل ضغط Zlib على خادم MongoDB. يمكن تحقيق ذلك عن طريق تشغيل mongod أو mongos مع خيار networkMessageCompressors أو net.compression.compressors الذي يستبعد Zlib صراحة.

هذا وتدعم MongoDB خيارات ضغط أخرى إلى جانب Zlib، مثل snappy و zstd، والتي يمكن استخدامها كبدائل.

وبحسب تقارير OP Innovate، فإن CVE-2025-14847 تسمح لمهاجم عن بعد، غير مصادق عليه، بتفعيل حالة قد يقوم فيها خادم MongoDB بإرجاع ذاكرة غير مهيأة من كومته. وقد يؤدي هذا إلى الكشف عن بيانات حساسة أثناء وجودها في الذاكرة، بما في ذلك معلومات الحالة الداخلية، أو المؤشرات، أو بيانات أخرى قد تساعد المهاجم في تنفيذ استغلالات إضافية.

شاركها.

يُقدّم فريقنا تقارير موثوقة وتحليلات متعمقة لمساعدة القراء والمتخصصين على فهم مشهد التهديدات الرقمية عالميًا.

Keep Reading

© 2026 أخبار الهاكرز. جميع الحقوق محفوظة.