MongoDB sunucusundaki kritik bir ön kimlik doğrulama güvenlik açığı (CVE-2025-6709), kimlik doğrulanmamış saldırganların OIDC kimlik doğrulamasında uygunsuz girdi validasyonundan yararlanarak hizmet reddi (DOS) koşullarını tetiklemesini sağlar.
Kusur, kötü niyetli aktörlerin belirli tarih değerleri içeren özel hazırlanmış JSON yükleri göndererek değişmez arızalara ve sunucu çökelerine neden olarak veritabanı sunucularını çarpmasına izin verir.
Bu güvenlik açığı, 7.0.17, 8.0.5 ve 6.0.21’den önce MongoDB sunucu sürümlerini etkiler (6.x sömürü için kimlik doğrulaması gerekir).
.png
)
Güvenlik Açığı Analizi
Saldırganlar, OIDC kimlik doğrulama mekanizmasını hedefleyen kötü niyetli JSON yükleri göndermek için MongoDB’nin Mongo kabuğunu kullanarak istismarını yeniden üretebilir.
Sunucu, JSON girişindeki tarih değerlerini düzgün bir şekilde doğrulayamıyor ve aşağıdakilere yol açar:
- V7.0 ve V8.0 dağıtımlarında kimlik doğrulaması olmadan tam sunucu çökmeleri
- V6.0 ortamlarında onay sonrası DOS
- Değişmez arızalar yoluyla veritabanı işlemlerinin kritik bozulması
Güvenlik açığı, ağ tabanlı saldırı vektörü, düşük saldırı karmaşıklığı ve yüksek kullanılabilirlik etkisi nedeniyle CVSS skoru 7.5 (yüksek) taşır.
MongoDB bunu CWE-20 (uygunsuz giriş validasyonu) olarak sınıflandırmıştır.
OIDC kusuru, bu yıl MongoDB’de açıklanan birden fazla güvenlik sorununu izliyor:
| CVE kimliği | Tanım | CVSS | Etkilenen sürümler | Sabit sürümler |
| CVE-2025-6709 | OIDC Tarih İşlemi aracılığıyla Auth Pre-Auth DOS | 7.5 | v6.0 <6.0.21, v7.0 <7.0.17, v8.0 <8.0.5 | 6.0.21/7.0.17/8.0.5 |
Azaltma ve güncellemeler
Yöneticiler hemen yamalı sürümlere yükseltilmelidir:
- MongoDB v6.0 → 6.0.21 veya üstü
- MongoDB v7.0 → 7.0.17 veya üstü
- MongoDB v8.0 → 8.0.5 veya üstü
Anında yama yapmanın mümkün olmadığı ortamlar için, güncellemeler uygulanana kadar OIDC kimlik doğrulamasını devre dışı bırakmayı düşünün.
MongoDB, şu anda bu güvenlik açığını hedefleyen bilinen hiçbir aktif istismarın onaylanmadığını, ancak kavram kanıtı üreme Mongo kabuğu aracılığıyla teyit edilmiştir.
Bu güvenlik açığı, veritabanı kimlik doğrulama mekanizmalarındaki kalıcı riskleri vurgulamaktadır, özellikle de işletmeler bulut-doğal dağıtımlar için giderek daha fazla OIDC’yi benimsemektedir.
Keşif, sertifika doğrulama baypasları (CVE-2025-3085) ve kimlik doğrulanmamış DOS kusurları (CVE-2025-3083) dahil olmak üzere 2025 yılında açıklanan birden fazla MongoDB güvenlik açığını takip etmektedir.
Veritabanı yöneticileri, yama döngülerine öncelik vermeli ve tarih nesneleri içeren anormal JSON yükleri için kimlik doğrulama günlüklerini izlemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin