MongoDB Peringatkan Admin Segera Tambal Celah RCE Berisiko Tinggi
MongoDB mengeluarkan peringatan keamanan mendesak kepada administrator TI untuk segera melakukan pembaruan sistem setelah ditemukan celah keamanan berisiko tinggi yang dapat dimanfaatkan dalam serangan remote code execution (RCE). Kerentanan ini berpotensi memungkinkan penyerang mengambil alih server yang terdampak tanpa memerlukan autentikasi.
Celah keamanan tersebut terdaftar dengan kode CVE-2025-14847 dan memengaruhi berbagai versi MongoDB serta MongoDB Server. Berdasarkan analisis tim keamanan MongoDB, kerentanan ini dapat dieksploitasi oleh aktor ancaman tanpa autentikasi melalui serangan berkompleksitas rendah, tanpa memerlukan interaksi dari pengguna.
Masalah utama pada CVE-2025-14847 berasal dari penanganan parameter panjang data yang tidak konsisten. Kondisi ini memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh dan berpotensi mendapatkan kendali penuh atas sistem yang menjadi target.
Untuk menutup celah tersebut dan mencegah potensi serangan, MongoDB merekomendasikan administrator agar segera melakukan peningkatan ke versi yang telah diperbaiki. Versi yang disarankan antara lain MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, serta 4.4.30.
Kerentanan ini diketahui berdampak pada berbagai rilis MongoDB, termasuk seri 8.2.0 hingga 8.2.3, 8.0.0 hingga 8.0.16, 7.0.0 hingga 7.0.26, 6.0.0 hingga 6.0.26, 5.0.0 hingga 5.0.31, serta 4.4.0 hingga 4.4.29. Selain itu, seluruh MongoDB Server versi 4.2, 4.0, dan 3.6 juga masuk dalam daftar terdampak.
Dalam pernyataan resminya, tim keamanan MongoDB menjelaskan bahwa eksploitasi sisi klien terhadap implementasi zlib pada server dapat mengembalikan memori heap yang belum terinisialisasi tanpa perlu autentikasi. Kondisi ini dinilai sangat berbahaya karena membuka peluang eksekusi kode berbahaya secara langsung.
Bagi organisasi yang belum dapat melakukan pembaruan dalam waktu dekat, MongoDB menyarankan langkah mitigasi sementara dengan menonaktifkan kompresi zlib pada server. Hal ini dapat dilakukan dengan menjalankan layanan mongod atau mongos menggunakan konfigurasi kompresi jaringan yang secara eksplisit mengecualikan zlib.
Ancaman RCE pada MongoDB bukanlah hal baru. Beberapa tahun lalu, Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) juga memasukkan celah RCE pada mongo-express ke dalam katalog kerentanan yang diketahui telah dieksploitasi secara aktif. Saat itu, lembaga federal diwajibkan mengamankan sistem mereka sesuai dengan kebijakan operasional yang berlaku.
Sebagai salah satu sistem manajemen basis data non-relasional paling populer, MongoDB digunakan secara luas di berbagai sektor industri. Berbeda dengan basis data relasional seperti PostgreSQL atau MySQL, MongoDB menyimpan data dalam format dokumen BSON. Saat ini, perangkat lunak ini digunakan oleh lebih dari 62.500 pelanggan di seluruh dunia, termasuk puluhan perusahaan besar dalam daftar Fortune 500.
