553/68 (IT) ประจำวันจันทร์ที่ 29 ธันวาคม 2568
พบช่องโหว่ด้านความมั่นคงปลอดภัยในระบบฐานข้อมูล MongoDB หมายเลข CVE-2025-14847 มีคะแนน CVSS 8.7 โดยช่องโหว่นี้อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ผ่านการยืนยันตัวตน สามารถอ่านข้อมูลจากหน่วยความจำแบบ heap ที่ยังไม่ได้ถูกกำหนดค่า (uninitialized heap memory) ของเซิร์ฟเวอร์ได้ ช่องโหว่ดังกล่าวเกิดจากการจัดการค่าความยาวของข้อมูล (length parameter) ที่ไม่สอดคล้องกันในโปรโตคอลที่ใช้การบีบอัดข้อมูลด้วย Zlib ส่งผลให้เซิร์ฟเวอร์ MongoDB อาจส่งคืนข้อมูลหน่วยความจำที่ยังไม่ได้ถูกกำหนดค่าให้กับไคลเอนต์ที่ไม่ได้ผ่านการยืนยันตัวตน ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลสำคัญในหน่วยความจำ เช่น ข้อมูลสถานะภายใน ตัวชี้ตำแหน่งหน่วยความจำ (pointers) หรือข้อมูลอื่น ๆ ที่อาจถูกนำไปใช้สนับสนุนการโจมตีในขั้นต่อไป
ช่องโหว่นี้ส่งผลกระทบต่อ MongoDB หลายเวอร์ชัน ได้แก่ MongoDB 8.2.0–8.2.3, 8.0.0–8.0.16, 7.0.0–7.0.26, 6.0.0–6.0.26, 5.0.0–5.0.31, 4.4.0–4.4.29 รวมถึง MongoDB Server เวอร์ชัน 4.2, 4.0 และ 3.6 ทั้งหมด โดย MongoDB ได้ออกแพตช์แก้ไขแล้วในเวอร์ชัน 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 และ 4.4.30 และแนะนำให้ผู้ใช้งานดำเนินการอัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขโดยเร็วที่สุด
กรณีที่ไม่สามารถอัปเดตระบบได้ทันที MongoDB แนะนำให้ปิดการใช้งานการบีบอัดข้อมูลด้วย Zlib บนเซิร์ฟเวอร์ โดยกำหนดค่า networkMessageCompressors หรือ net.compression.compressors ให้ไม่รวม Zlib ทั้งนี้ MongoDB ยังรองรับตัวเลือกการบีบอัดอื่น เช่น snappy และ zstd ซึ่งสามารถใช้งานแทนได้ เพื่อช่วยลดความเสี่ยงชั่วคราวจนกว่าจะสามารถอัปเดตแพตช์ได้อย่างสมบูรณ์
แหล่งข่าว https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html
