{"id":1929,"date":"2025-12-28T22:57:56","date_gmt":"2025-12-28T21:57:56","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/mongobleed-la-faille-critique-qui-fait-fuir-la-memoire-de-votre-mongodb\/"},"modified":"2025-12-28T22:57:56","modified_gmt":"2025-12-28T21:57:56","slug":"mongobleed-la-faille-critique-qui-fait-fuir-la-memoire-de-votre-mongodb","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/mongobleed-la-faille-critique-qui-fait-fuir-la-memoire-de-votre-mongodb\/","title":{"rendered":"MongoBLEED – La faille critique qui fait fuir la m\u00e9moire de votre MongoDB"},"content":{"rendered":"

Si vous utilisez MongoDB, accrochez-vous bien parce que l\u00e0, c’est du lourd. Une faille critique baptis\u00e9e MongoBLEED<\/strong> vient d’\u00eatre d\u00e9couverte et elle touche \u00e0 peu pr\u00e8s toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vuln\u00e9rables, c’est un chouette record, je trouve ^^.<\/p>\n

Le probl\u00e8me avec cette CVE-2025-14847, c’est qu’elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compress\u00e9 mal form\u00e9 avec des param\u00e8tres de longueur trafiqu\u00e9s, MongoDB se met \u00e0 recracher des bouts de sa m\u00e9moire heap sans broncher. Et dans cette m\u00e9moire, on peut trouver des trucs sympa genre des mots de passe, des tokens d’authentification, des cl\u00e9s de chiffrement… Bref, le jackpot pour un attaquant.<\/p>\n

Le pire dans tout \u00e7a c’est que y’a pas besoin d’\u00eatre authentifi\u00e9 pour exploiter la faille. Si votre instance MongoDB est accessible depuis le r\u00e9seau, n’importe qui peut s’y connecter et commencer \u00e0 siphonner votre m\u00e9moire. C’est exactement le m\u00eame genre de cauchemar que
\nHeartbleed<\/a>
\nen 2014, d’o\u00f9 le petit surnom affectueux.<\/p>\n

Du coup, qui est concern\u00e9 ?<\/p>\n

H\u00e9 bien \u00e0 peu pr\u00e8s tout le monde… Les versions 3.6.0 jusqu’\u00e0 8.0.16 sont touch\u00e9es, ce qui repr\u00e9sente selon les chercheurs de
\n Wiz<\/a>
\nenviron 42% des environnements cloud. Il y aurait donc plus de 87 000 instances MongoDB expos\u00e9es sur Internet et le probl\u00e8me, c’est que depuis le 26 d\u00e9cembre 2025, des exploitations actives ont \u00e9t\u00e9 d\u00e9tect\u00e9es dans la nature. Joyeux No\u00ebl !!<\/p>\n

La bonne nouvelle, c’est que le fix est simple. Soit vous mettez \u00e0 jour vers une version patch\u00e9e (8.2.3+, 8.0.17+, 7.0.28+, 6.0.27+, 5.0.32+ ou 4.4.30+), soit vous d\u00e9sactivez la compression zlib en attendant. Pour \u00e7a, c’est dans la config r\u00e9seau de MongoDB, param\u00e8tre compressors qu’il faut virer le zlib.<\/p>\n

Pour v\u00e9rifier si vous \u00eates vuln\u00e9rable, un petit nmap sur le port 27017 avec le script mongodb-info vous dira quelle version tourne. Vous pouvez aussi regarder les logs r\u00e9seau pour d\u00e9tecter des connexions suspectes avec des messages compress\u00e9s anormalement petits suivis de r\u00e9ponses anormalement grandes. C’est le signe qu’un petit malin est en train de vous pomper la m\u00e9moire.<\/p>\n

Bref, si vous avez du MongoDB qui tra\u00eene quelque part, c’est le moment de faire un petit tour dans vos infras. Parce que l\u00e0, c’est quand m\u00eame d’une faille qui permet \u00e0 n’importe qui d’aspirer vos donn\u00e9es sensibles sans m\u00eame avoir besoin d’un mot de passe.
\n Ubisoft en a fait les frais et \u00e7a pique !<\/a>\n<\/p>\n

\n Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"