MongoBleed, la redoutable faille activement exploitée de MongoDB

Publié le 19 janvier 2026

Catégories : Cybersécurité, Programmation web

Si vous vous intéressez au sujet de la data, vous avez certainement déjà entendu parler de MongoDB, célèbre SGBD (Système de Gestion de Base de Données) orienté document, et figure de proue du NoSQL. Mais saviez-vous qu’une vulnérabilité critique est activement exploitée sur certaines instances publiques ? On vous explique tout.

MongoBleed, identifiée comme CVE-2025-14847 et nommée après Heartbleed, autre grande vulnérabilité de ces dernières années, est un coup majeur porté à l’ensemble de l’écosystème MongoDB. Cette faille touche l’ensemble des versions de MongoDB depuis la branche 4.x, mais a heureusement été fixée en temps et en heure par les développeurs ainsi que les mainteneurs de paquets.

Lorsqu’un client échange des messages BSON avec l’instance MongoDB, ces derniers peuvent être compressés à l’aide de zlib. C’est une manière efficace de réduire le besoin de bande passante. Le client étant celui qui définit la taille des messages non compressés, l’instance lui fait alors confiance aveuglément, et réserve en mémoire vive la taille spécifiée afin de décompresser le message.

La faille repose sur un fonctionnement analogue à celui de Heartbleed : et si un client malveillant envoyait une taille non compressée bien supérieure à celle réellement occupée par le message compressé en mémoire ?

C’est le drame ; c’est ce qu’on appelle un dépassement de tampon (en anglais, buffer overflow). Le serveur va alors remplir l’espace alloué avec la taille réelle du message non compressé, mais renvoyer ce que contient l’ensemble de l’espace alloué (de la taille spécifiée par l’attaquant), ce qui entraîne un comportement indéfini. Dans le meilleur des cas, le serveur plante ; c’est un déni de service. Et dans le pire des cas, il répond des données autres que celles réellement accessibles, c’est alors pour cela qu’on parle de « saignement ».

Comment prévenir ce genre d’attaques ? Quelques réflexes d’hygiène numérique suffisent :

• Ne pas exposer une instance MongoDB publiquement, sans authentification ni pare-feu ;
• Maintenir à jour son environnement serveur et son instance Mongo DB ;
• Surveiller le trafic entrant et sortant afin d’identifier tout comportement suspect.