MongoDB mengeluarkan peringatan kepada administrator IT untuk segera memperbarui sistem mereka. Peringatan ini terkait dengan celah keamanan tingkat tinggi yang dapat dieksploitasi dari jarak jauh tanpa autentikasi.
Kerentanan tersebut terdaftar sebagai CVE-2025-14847. Celah ini memungkinkan penyerang membaca memori server dan berpotensi mencuri data sensitif. Serangan dapat dilakukan dengan tingkat kompleksitas rendah dan tanpa interaksi pengguna.
Menurut tim keamanan MongoDB, masalah ini berasal dari implementasi zlib compression di sisi server. Penyerang dapat memanfaatkan kelemahan ini untuk membaca memori heap yang belum terinisialisasi tanpa harus login ke server.
Dalam kondisi tertentu, celah ini juga berpotensi memungkinkan eksekusi kode berbahaya dan pengambilalihan sistem. Karena risikonya tinggi, MongoDB sangat menyarankan semua pengguna untuk segera melakukan pembaruan.
Jika belum memungkinkan untuk update, administrator disarankan untuk menonaktifkan zlib compression pada MongoDB Server dengan mengatur parameter networkMessageCompressors atau net.compression.compressors agar tidak menggunakan zlib.
MongoDB telah merilis versi perbaikan, dan pengguna disarankan untuk memperbarui ke salah satu versi berikut sesegera mungkin: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, atau 4.4.30.
Celah ini memengaruhi banyak versi MongoDB, termasuk versi lama yang sudah tidak didukung. Semua MongoDB Server versi 3.6, 4.0, dan 4.2 juga terdampak.
MongoDB merupakan sistem database non-relasional yang sangat populer dan digunakan oleh lebih dari 62.500 pelanggan di seluruh dunia, termasuk banyak perusahaan Fortune 500. Karena itu, administrator disarankan untuk segera mengamankan sistem mereka guna mencegah potensi serangan.