CISA、積極的に悪用されるMongoDBの脆弱性CVE-2025-14847を警告

CISA、積極的に悪用されるMongoDBの脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、CVE-2025-14847を既知の悪用脆弱性（KEV）カタログに追加しました。この脆弱性は、MongoDBおよびMongoDB Serverに影響を及ぼし、長さパラメータの不適切な処理に関連しています。

技術的詳細

• CVE ID: CVE-2025-14847
• 影響を受けるソフトウェア: MongoDBおよびMongoDB Server
• 脆弱性の種類: 長さパラメータの不適切な処理。これにより、メモリ破壊、不正なデータアクセス、またはリモートコード実行（RCE）が発生する可能性があります。
• 悪用状況: 脅威アクターによる積極的な悪用が確認されています。

CISAは、この脆弱性の悪用ベクトルや関与する脅威アクターに関する具体的な詳細は公表していませんが、KEVカタログへの追加は、脆弱なMongoDBインスタンスを運用する組織にとって重大なリスクを示しています。

影響分析

MongoDBにおける長さパラメータの不適切な処理により、攻撃者は以下の行為が可能となります：

• 脆弱なシステム上で任意のコードをリモート実行。
• MongoDBデータベースに保存された機密データへのアクセスまたは改ざん。
• 侵害された環境内での権限昇格。

MongoDBは、特に大規模で非構造化データを扱う企業環境で広く利用されているため、この脆弱性は、まだパッチや緩和策を適用していない組織にとって重大なリスクをもたらします。

推奨事項

CISAは、すべての組織に以下の対策を推奨しています：

1. CVE-2025-14847のパッチ適用を優先し、MongoDBから提供されている最新のセキュリティアップデートを適用する。
2. MongoDBのデプロイメントを見直し、適切な認証およびネットワークセグメンテーションなしでインターネットに公開されていないことを確認する。
3. MongoDBインスタンスに関連する不審な活動（異常なログイン試行やデータアクセスパターンなど）を監視する。
4. CISAのBinding Operational Directive (BOD) 22-01に従い、連邦民間機関はKEVカタログに記載された脆弱性を指定された期限内に修正する。

詳細については、CISAの公式アラートを参照してください。