- MongoBleed (CVENS-155555555) डेटा अनइनिशियलाइज्ड हिप मेमोरी शोषण मार्फत
- लगभग 87,000 खुला MongoDB उदाहरणहरू कमजोर; अमेरिका, चीन र जर्मनीमा सबैभन्दा बढी अवस्थित
- Patch डिसेम्बर १९ मा जारी गरियो; MongoDB एटलस स्वत: प्याच गरिएको, कुनै पनि इन-द-वाइल्ड दुरुपयोग पुष्टि भएको छैन
MongoBleed, MongoDB को धेरै संस्करणहरू प्लेग गर्ने एक उच्च-गम्भीर जोखिम, अब सजिलैसँग शोषण गर्न सकिन्छ किनभने एक प्रमाण-अफ-संकल्पना (PoC) अब यो हप्ताको वेबमा प्रकाशित कोड उपलब्ध छ। जसले CVE-2025-14847 को रूपमा ट्र्याक गरिएको “अनिनिशियलाइज्ड हिप मेमोरीको पढाइ” भेद्यताको शोषण गर्दछ। यो जोखिम, 8.7/10 (उच्च) मूल्याङ्कन गरिएको, “Zlib कम्प्रेस गरिएको प्रोटोकल हेडरहरूमा बेमेल लम्बाइ क्षेत्रहरू” बाट उत्पन्न हुन्छ। data-hl-processed=”none”/>
sending डिकम्प्रेस गर्दा ठूलो आकारको दाबी गर्ने विषयुक्त सन्देश, आक्रमणकारीले सर्भरलाई ठूलो मेमोरी बफर आवंटित गर्न सक्छ, जसको माध्यमबाट उनीहरूले क्रेडेन्सियल, क्लाउड कुञ्जीहरू, सत्र टोकनहरू, एपीआई कुञ्जीहरू, कन्फिगरेसनहरू, र अन्य डेटाहरू समावेश गर्ने इन-मेमोरी डेटा लीक गर्नेछन्। data-recirculation-type=”inline” data-mrf-recirculation=”Trending Bar” data-nosnippet=”” class=”clear-both pt-3 pb-4 mb-4 border-solid border-y border-neutral-300″>
तपाईलाई मन पर्न सक्छ
. id=”how-to-stay-safe-3″>कसरी सुरक्षित रहने
अधिक के छ – MongoBleed को शोषण गर्ने आक्रमणकारीहरूलाई मान्य प्रमाणहरू आवश्यक पर्दैन। सेन्सिसको डाटा अनुसार, सार्वजनिक इन्टरनेटमा लगभग 87,000 सम्भावित जोखिममा परेका उदाहरणहरू छन् भनेर पुष्टि गर्दछ। अधिकांश संयुक्त राज्य अमेरिका (२०,०००) मा अवस्थित छन्, चीन (१७,०००), र जर्मनी (करिब ८,०००) मा उल्लेखनीय उदाहरणहरू सहित।
यहाँ सबै कमजोर संस्करणहरूको सूची छ:
MongoDB 8.2.0 देखि 8.2.3
MongoDB 8.0.0 देखि 8.0.16 सम्म 6.0.26
MongoDB 5.0.0 देखि 5.0.31 सम्म
MongoDB 4.4.0 देखि 4.4.29 सम्म
सबै MongoDB सर्भर v4.2 संस्करणहरू
सबै MongoDB सर्भर v4.0 संस्करणहरू
सबै MongoDB सर्भरहरू चलिरहेका छन्। माथिको कुनै पनि, प्याच अप गर्न निश्चित गर्नुहोस् – डिसेम्बर 19 देखि सेल्फ-होस्टिङ उदाहरणहरूको लागि एक समाधान उपलब्ध छ। MongoDB एटलस चलाउने प्रयोगकर्ताहरूले केही गर्न आवश्यक छैन, किनकि तिनीहरूको उदाहरणहरू स्वचालित रूपमा प्याच गरिएको थियो।
अहिलेसम्म, त्यहाँ जंगली दुर्व्यवहारको कुनै पुष्टि भएको रिपोर्ट छैन, यद्यपि केही अनुसन्धानकर्ताहरूले हालैको मोङ्गोडबीबीमा लिंकिङ गर्दै छन्। उल्लङ्घन।
द्वारा Bleeping Computer
class=”person__name”>सबै बजेटका लागि उत्कृष्ट एन्टिभाइरस
Google समाचारमा TechRadar फलो गर्नुहोस् र हामीलाई रुचाइएको स्रोतको रूपमा थप्नुहोस्हाम्रो समाचार, फिडको समीक्षा र विज्ञहरू लिनुहोस्। फलो गर्ने बटनमा क्लिक गर्न नबिर्सनुहोस्!
र पक्कै पनि तपाईं पनि TikTok मा TechRadar फलो गर्नुहोस् समाचार, समीक्षा, भिडियो फारममा अनबक्सिङका लागि, र हामीबाट नियमित अपडेटहरू प्राप्त गर्नुहोस् WhatsApp पनि।