サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

MongoDBにおける情報漏えいの脆弱性(CVE-2025-14847)について

最終更新: 2026-01-06

I. 概要

2025年12月19日(現地時間)、MongoDBは、MongoDBにおける初期化されていないヒープメモリからの情報漏えいの脆弱性(CVE-2025-14847)に関する情報を公表[1]しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が細工した通信を送信することで、初期化されていないヒープメモリ内に残っている情報を読み取り、結果的にMongoDB内の機密情報(APIキー、認証情報など)が漏えいする可能性があります。

また、Rapid7やResecurityなどの米国セキュリティ企業が本脆弱性の実証コード(Proof-of-Concept)の解説を含むブログ記事を公開[2][3]しています。本脆弱性の国内での悪用に関する情報は本日時点では確認されていないものの、今後、PoCなどを悪用した攻撃の増加が懸念されます。JPCERT/CCは、本脆弱性の影響を受ける対象製品が国内で広く利用されていることを確認しています。以下の情報を確認のうえ、速やかな対策の実施を推奨します。

II. 対象

対象となる製品およびバージョンは次のとおりです。詳細は、MongoDBの情報[1]をご確認ください。

  • MongoDB 8.2.0から8.2.2まで
  • MongoDB 8.0.0から8.0.16まで
  • MongoDB 7.0.0から7.0.26まで
  • MongoDB 6.0.0から6.0.26まで
  • MongoDB 5.0.0から5.0.31まで
  • MongoDB 4.4.0から4.4.29まで
  • MongoDB Server v4.2のすべてのバージョン
  • MongoDB Server v4.0のすべてのバージョン
  • MongoDB Server v3.6のすべてのバージョン

※MongoDB Atlasは、開発者にてパッチ適用済みのため、影響を受けません[4]

III. 対策

開発者が提供する情報をもとに、製品を修正済みバージョンへアップデートしてください。なお、一部の影響を受けるバージョンはサポートが終了[5]しており、アップデートが提供されていないものがあります。アップデートが適用できない場合は、ワークアラウンドを適用してください。詳細は、開発者が提供する情報[1]を確認してください。

また、MongoDBインスタンスがインターネットから直接アクセス可能となっており、かつ、その必要がない場合は、インターネットから直接アクセスができないようにネットワーク設定などを見直すことを推奨します。

本脆弱性の悪用が疑われる場合は、必要に応じて漏えいした可能性のある機密情報(APIキー、認証情報など)の変更を検討してください。なお、侵害調査の参考となる情報も公開[6]されているため、必要に応じて関連情報も参照してください。

IV. 関連情報

[1] MongoDB
Make minimally sized buffers for uncompressed Messages
https://jira.mongodb.org/browse/SERVER-115508

[2] Rapid7
MongoBleed CVE-2025-14847: Critical Memory Leak in MongoDB Allowing Attackers to Extract Sensitive Data
https://www.rapid7.com/blog/post/etr-mongobleed-cve-2025-1484-critical-memory-leak-in-mongodb-allowing-attackers-to-extract-sensitive-data/

[3] Resecurity
MongoBleed (CVE-2025-14847): MongoDB Memory Leak Flaw
https://www.resecurity.com/blog/article/mongobleed-cve-2025-14847-mongodb-memory-leak-flaw

[4] MongoDB
MongoDB Server Security Update, December 2025
https://www.mongodb.com/company/blog/news/mongodb-server-security-update-december-2025

[5] MongoDB
MongoDB Software Lifecycle Schedules
https://www.mongodb.com/legal/support-policy/lifecycles

[6] Abstract Security
Critical MongoDB Vulnerability: CVE-2025-14847 - MongoBleed
https://www.abstract.security/blog/critical-mongodb-vulnerability-cve-2025-14847-mongobleed

CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報