MongoDBの複数の脆弱性(High: CVE-2025-3083, CVE-2025-3085, Medium: CVE-2025-3084, Low: CVE-2025-3082)

04/03/2025にMongoDBの複数の脆弱性(High: CVE-2025-3083, CVE-2025-3085, Medium: CVE-2025-3084, Low: CVE-2025-3082)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

一次情報源

CVSS/プライオリティ

  • CVE-2025-3082
    • 影響するバージョン
      • MongoDB Server v5.0 < 5.0.31, v6.0 < 6.0.20, v7.0 < 7.0.14, v7.3 < 7.3.4
    • Priority
      • NVD: 3.1(LOW)
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
      • Red Hat:
  • CVE-2025-3083
    • 影響するバージョン
      • MongoDB Server v5.0 < 5.0.31, v6.0 < 6.0.20, v7.0 < 7.0.16
    • Priority
      • NVD: 7.5(HIGH)
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
      • Red Hat:
  • CVE-2025-3084
    • 影響するバージョン
      • MongoDB Server v5.0 < 5.0.31, v6.0 < 6.0.20, v7.0 < 7.0.16, v8.0 < 8.0.4
    • Priority
      • NVD: 6.5(MEDIUM)
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
      • Red Hat:
  • CVE-2025-3085
    • 影響するバージョン
      • MongoDB Server v5.0 < 5.0.31, v6.0 < 6.0.20, v7.0 < 7.0.16, v8.0 < 8.0.4
    • Priority
      • NVD: 8.1(HIGH)
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
      • Red Hat:

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2025-3082
    • ユーザがビューの照合(collation)を上書きしその下のデータに許可されていないアクセスが出来る可能性
    • ビューにアクセスできる様に認証されているユーザは、意図されている照合(collation)を上書きして、意図されていないデータへのビューを行うことができる可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2025-3083
  • https://www.cve.org/CVERecord?id=CVE-2025-3084
    • コマンドのexplain()での不適切な検証によるMongoDB Serverクラッシュの可能性
    • コマンドを特別な引数で実行している際に、explain()がそれらの引数を検証する前にクラッシュしてしまいます。これによりMongoDBサーバがクラッシュする可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2025-3085
    • 中間証明書が取り消されている場合のLinux上のMongoDB Serverの不適切な認証
    • 特別な条件でMongoDBサーバがLinux+TLSで動作していてCRL失効をチェックしている場合、Peerの証明書チェーン内の中間証明書失効ステータスをチェックできません。MONGODB-X509(デフォルトでは有効になっていません)の場合、これにより不適切な認証が行われる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました