مشاهده توییت های دیگر

آسیب‌پذیری CVE-2025-14847 با امتیاز ۸.۷ یعنی فاجعه امنیتی برای هر کسی که این دیتابیس رو توی Production داره. قصه از این قراره که پروتکل ارتباطی مونگو وقتی می‌خواد پکت‌های فشرده‌شده با Zlib رو باز کنه، توی چک کردن طول دیتا (Length Parameter) سوتی می‌ده. نتیجه؟ یه اتکر بدون نیاز به هیچ نوع Authenticationای می‌تونه دیتای موجود توی Heap Memory رو بالا بکشه.

این نشت حافظه اصلا شوخی نیست! وقتی از Uninitialized Memory حرف می‌زنیم، یعنی هر چیزی که توی RAM سرور لود شده، از Pointerهای سیستمی و اطلاعات وضعیت داخلی گرفته تا دیتای حساس بقیه یوزرها، همه‌اش در دسترسه. این اطلاعات مثل نقشه راه برای اتکر عمل می‌کنه تا حملات زنجیره‌ای و خطرناک‌تری رو روی کل زیرساخت شما سوار کنه. از ورژن‌های قدیمی ۳.۶ تا ۸.۲ جدید، تقریبا همه‌جا این نشت امنیتی وجود داره.

اگه ادمین سیستم یا Developer هستید، وقت رو تلف نکنید. سریعا به نسخه‌های پچ‌شده (مثل 8.0.17 یا 7.0.28) Upgrade کنید. اگه به هر دلیلی فعلا دستتون برای آپدیت بسته‌ست، Zlib رو توی تنظیمات networkMessageCompressors کلا Disable کنید و سوییچ کنید روی Snappy یا Zstd. امنیت توی لایه دیتابیس آخرین جاییه که باید توش تعلل کرد.