MongoDB
En fin décembre 2025, la communauté informatique a été surprise par la découverte et la divulgation d’une vulnérabilité critique affectant MongoDB, l’un des systèmes de base de données NoSQL les plus utilisés au monde. Cette faille a été officiellement signalée sous l’identifiant CVE-2025-14847, mais dans le milieu de la cybersécurité elle a rapidement reçu le surnom de « MongoBleed » — un jeu de mots faisant référence à la célèbre faille Heartbleed. L’impact principal de cette vulnérabilité est qu’elle permet à un attaquant non authentifié d’extraire des fragments de mémoire du serveur, sans authentification préalable et sans exécuter de code malveillant sur le système ciblé.
La racine du problème se trouve dans la gestion de la compression des messages réseau avec la bibliothèque zlib, utilisée par MongoDB pour optimiser les communications. Lors de la décompression, un bug dans le code peut renvoyer à un client externe des portions de mémoire non initialisée — ce qui signifie que des informations sensibles comme des identifiants, des clés API ou des jetons de session peuvent être accidentellement divulgués. Cette erreur se produit avant même qu’une authentification ne soit requise, c’est-à-dire que l’attaquant n’a pas besoin de posséder des credentials valides pour exploiter la faille.
La publication du code d’exploitation public a encore accentué l’urgence de la situation. Dès le 25 décembre, plusieurs outils démontrant comment exploiter cette vulnérabilité ont été rendus publics, et les chercheurs ont rapporté des tentatives d’exploitation « dans la nature » contre des serveurs MongoDB non corrigés d’ici la fin de décembre. Cette disponibilité de code prêt à l’emploi rend l’exploitation plus simple pour des acteurs malveillants de tous niveaux.
MongoDB, Inc. a réagi rapidement en publiant un avis de sécurité et des correctifs avant Noël. Dès la mi-décembre, les ingénieurs sécurité de MongoDB avaient identifié la faille, développé des correctifs et commencé à les déployer, notamment sur leur service géré MongoDB Atlas, qui a été mis à jour automatiquement dans la plupart des cas. Pour les déploiements auto-gérés, il a été recommandé aux administrateurs de mettre à jour leurs serveurs vers des versions corrigées ou de désactiver temporairement la compression zlib si la mise à jour n’était pas immédiatement possible.
L’ampleur du risque a aussi été mise en lumière par des analyses externes : des tens de milliers de serveurs exposés publiquement aux États-Unis, en Europe et en Chine ont été identifiés comme potentiellement vulnérables. Cette large exposition souligne les défis de la sécurité dans les infrastructures distribuées modernes, où des millions de services sont accessibles depuis Internet.
MongoDB a publié des versions corrigées de son serveur pour combler la faille critique MongoBleed (CVE-2025-14847).
Pour chaque branche majeure de MongoDB, il existe une version à jour qui n’est plus vulnérable, par exemple :
8.2.3 ou supérieur
8.0.17 ou supérieur
7.0.28 ou supérieur
6.0.27 ou supérieur
5.0.32 ou supérieur
4.4.30 ou supérieur
Sources: