Otkrivena je kritična ranjivost pre-autentifikacije koja uzrokuje uskraćivanje usluge (DoS), identifikovana pod oznakom CVE-2025-6709. Ova ranjivost pogađa više verzija MongoDB Servera, uključujući izdanja 6.0, 7.0 i 8.0.
Ova ranjivost, klasifikovana pod CWE-20 (Nepravilna validacija unosa), eksploatiše nepravilno rukovanje specifičnim datumskim vrijednostima unutar JSON payload-ova tokom procesa OIDC autentifikacije. Napadači mogu iskoristiti MongoDB shell (mongo) za slanje posebno kreiranih zlonamjernih JSON podataka koji pokreću invariantni kvar, što na kraju dovodi do potpunog rušenja servera. Mehanizam napada zaobilazi tradicionalne zahtjeve za autentifikacijom, što ga čini posebno opasnim jer omogućava neautentifikovanim udaljenim napadačima da ometaju operacije baze podataka. Tehnički uzrok leži u nedovoljnom čišćenju i validaciji ulaznih podataka formatiranih kao datum unutar OIDC pipeline-a. Kada MongoDB server obrađuje ove neispravne datumske vrijednosti, proces parsiranja nailazi na neočekivane strukture podataka koje krše interne pretpostavke, uzrokujući neočekivano gašenje procesa servera. Ovo predstavlja klasičnu ranjivost validacije unosa gdje nedovoljno provjeravanje granica i validacija tipova podataka stvaraju uslove koji se mogu eksploatisati.
Ranljivost ima rejting CVSS 7.5, što ukazuje na visok nivo rizika za organizacije koje koriste ugrožene MongoDB implementacije u produkcijskim okruženjima. Uticaj ove ranjivosti obuhvata tri glavne grane MongoDB Servera, sa različitim nivoima ozbiljnosti. Verzije MongoDB Servera 7.0 prije 7.0.17 i verzije 8.0 prije 8.0.5 podložne su eksploataciji prije autentifikacije, omogućavajući potpuno neautentifikovanim napadačima daljinsko pokretanje uskraćivanja usluge. MongoDB Server v6.0 verzije prije 6.0.21 također sadrže ranjivost, međutim, eksploatacija zahtijeva uspješnu autentifikaciju, što smanjuje neposrednu površinu prijetnje, ali i dalje predstavlja rizik od strane autentifikovanih korisnika. Organizacije koje koriste ove ranjive verzije suočavaju se sa potencijalnim prekidima usluga, posebno u okruženjima visoke dostupnosti gdje zastoji baze podataka direktno utiču na poslovne operacije. Mrežni vektor napada (AV:N) u kombinaciji sa niskom složenošću napada (AC:L) čini ovu ranjivost posebno zabrinjavajućom za MongoDB implementacije koje su izložene internetu ili su dostupne putem kompromitovanih mrežnih segmenata.
Kao ublažavanje, sigurnosni timovi bi trebali dati prioritet hitnom ažuriranju na najnovije stabilne verzije: MongoDB Server 6.0.21, 7.0.17 ili 8.0.5, ovisno o njihovoj trenutnoj verziji implementacije. Organizacije koje nisu u mogućnosti odmah implementirati zakrpe trebale bi razmotriti implementaciju kontrole pristupa na mrežnom nivou, privremeno onemogućavanje OIDC autentifikacije ako nije ključno za poslovanje, ili postavljanje web aplikacijskih firewall-ova sposobnih za filtriranje zlonamjernih JSON payload-ova. Pre-autentifikacijska priroda ove ranjivosti čini je atraktivnom metom za zlonamjerne aktere koji traže ometanje usluga baze podataka bez potrebe za sofisticiranim tehnikama napada. Administraktori baza podataka bi trebali pratiti neobične obrasce povezivanja, implementirati sveobuhvatno logovanje pokušaja OIDC autentifikacije i uspostaviti procedure za reagovanje na incidente radi brze obnove usluga nakon potencijalnih pokušaja eksploatacije.
