MongoDB’da aniqlangan jiddiy RCE zaifligi serverlar xavfsizligiga katta tahdid solmoqda

Ma’lumotlar bazasi texnologiyalari zamonaviy axborot tizimlarining asosi hisoblanadi. Ayniqsa, MongoDB kabi keng tarqalgan NoSQL platformalarining xavfsizligi tashkilotlar uchun muhim ahamiyat kasb etadi. Yaqinda MongoDB ishlab chiquvchilari tomonidan e’lon qilingan yangi ogohlantirish esa ushbu masalaning naqadar dolzarb ekanini yana bir bor ko‘rsatdi.

MongoDB mutaxassislari masofadan turib ixtiyoriy kod bajarish (Remote Code Execution — RCE) imkonini beruvchi jiddiy xavfsizlik zaifligi aniqlanganini rasman ma’lum qildi. Eng xavotirli jihati shundaki, ushbu zaiflikdan autentifikatsiyasiz, ya’ni hech qanday foydalanuvchi ruxsatisiz foydalanish mumkin va hujumni amalga oshirish uchun foydalanuvchi bilan o‘zaro aloqaning o‘zi ham talab etilmaydi.

Zaiflik tafsilotlari

Mazkur muammo CVE-2025-14847 identifikatori bilan ro‘yxatga olingan bo‘lib, u parametr uzunligidagi nomuvofiqliklarni noto‘g‘ri qayta ishlash (Improper Handling of Length Parameter Inconsistency) bilan bog‘liq. Texnik jihatdan bu holat hujumchiga xotira bilan ishlash jarayonidagi xatolardan foydalanib, serverda ixtiyoriy kod bajarish va hatto butun tizim ustidan nazorat o‘rnatish imkonini beradi.

MongoDB xavfsizlik jamoasi ta’kidlashicha, zaiflik zlib siqish mexanizmining server tomonidagi realizatsiyasi bilan bog‘liq bo‘lib, u hujumchiga avtorizatsiyasiz tarzda xip (heap) xotiradan initsializatsiya qilinmagan ma’lumotlarni olish imkonini yaratadi. Bu esa keyingi bosqichda RCE hujumlarini amalga oshirishga zamin yaratadi.

Ta’sir ko‘rsatadigan versiyalar

CVE-2025-14847 zaifligi MongoDB’ning juda keng ko‘lamdagi versiyalariga ta’sir ko‘rsatadi. Jumladan:

  • MongoDB 8.2.0 – 8.2.3
  • MongoDB 8.0.0 – 8.0.16
  • MongoDB 7.0.0 – 7.0.26
  • MongoDB 6.0.0 – 6.0.26
  • MongoDB 5.0.0 – 5.0.31
  • MongoDB 4.4.0 – 4.4.29
  • MongoDB Server 4.2, 4.0 va 3.6 ning barcha versiyalari

Bu esa ko‘plab tashkilotlar va server infratuzilmalari real xavf ostida ekanini anglatadi.

Yechim va ishlab chiquvchilar tavsiyasi

MongoDB ishlab chiquvchilari mazkur zaiflikni bartaraf etish uchun foydalanuvchilarga iloji boricha tezroq quyidagi xavfsiz versiyalarga yangilanishni qat’iy tavsiya qilmoqda:

  • 8.2.3
  • 8.0.17
  • 7.0.28
  • 6.0.27
  • 5.0.32
  • 4.4.30

Agar texnik yoki tashkiliy sabablarga ko‘ra yangilashni darhol amalga oshirish imkoni bo‘lmasa, vaqtinchalik himoya chorasi sifatida MongoDB Server’da zlib siqishni o‘chirish tavsiya etiladi. Buning uchun mongod yoki mongos xizmatini ishga tushirishda networkMessageCompressors yoki net.compression.compressors parametrlari orqali zlib’ni o‘chirib qo‘yish lozim.

Xavfsizlik nuqtayi nazaridan xulosa

Ushbu holat yana bir bor shuni ko‘rsatadiki, hatto yirik va ishonchli platformalar ham vaqti-vaqti bilan jiddiy xavfsizlik zaifliklariga duch kelishi mumkin. Ayniqsa, internetga ochiq MongoDB serverlari uchun bunday RCE zaifliklari nihoyatda xavfli bo‘lib, ma’lumotlar yo‘qotilishi, tizim to‘liq egallanishi va boshqa infratuzilmalarga hujumlar uyushtirilishiga olib kelishi mumkin.

Shu sababli tashkilotlarga:

  • MongoDB versiyalarini muntazam yangilab borish,
  • foydalanilayotgan server konfiguratsiyalarini qayta ko‘rib chiqish,
  • siqish va tarmoq sozlamalarini qat’iy nazorat qilish,
  • hamda doimiy xavfsizlik monitoringini yo‘lga qo‘yish

tavsiya etiladi.