#news Ещё один подарок от Гринча на Рождество: в MongoDB идёт активный эксплойт уязвимости, получившей название MongoBleed со всем из этого, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти.
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в праздники. Те самые проводящие их в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам. В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни.
