Kritična ranjivost uskraćivanja usluge prije autentikacije, označena kao CVE-2025-6709, identificirana je u više verzija MongoDB Servera, uključujući njene 6.0, 7.0 i 8.0 razvojne grane. Ova ranjivost, koja ima CVSS ocjenu 7.5, omogućava neautentikovanim napadačima da ugroze stabilnost servera.
Problem leži u nepravilnom validiranju unosa u mehanizmu za autentifikaciju putem OpenID Connect (OIDC) servera, što omogućava napadačima da uzrokuju pad instanci baza podataka bez potrebnih vjerodajnica. Organizacije koje koriste ugrožene MongoDB implementacije u produkcijskim okruženjima suočavaju se sa značajnim rizicima.
Ranjivost je svrstana pod CWE-20 (Nepravilno validiranje unosa) i eksploatiše nedostatke u obradi specifičnih vrijednosti datuma u JSON sadržaju tokom OIDC procesa autentifikacije. Napadači mogu iskoristiti MongoDB školjku (mongo) za slanje posebno kreiranih zlonamjernih JSON podataka koji izazivaju neispravnost stanja, što na kraju dovodi do potpunog obaranja servera. Ovaj napadni mehanizam zaobilazi tradicionalne zahtjeve za autentifikaciju, čineći ga posebno opasnim jer omogućava neautentikovanim daljinskim napadačima da ometaju operacije baza podataka.
Tehnički uzrok je neadekvatno čišćenje i validiranje ulaznih podataka u formatu datuma unutar OIDC pipeline-a. Kada MongoDB server obradi ove pogrešno formatirane vrijednosti datuma, logika parsiranja nailazi na neočekivane strukture podataka koje krše interne pretpostavke, uzrokujući neočekivani prekid rada serverskog procesa. Ovo predstavlja klasičnu ranjivost validacije unosa, gdje nedovoljno provjeravanje granica i validacija tipova podataka stvara uslove za eksploataciju.
Ranjivost pogađa tri glavne razvojne grane MongoDB Servera sa različitim nivoima ozbiljnosti. Verzije MongoDB Servera 7.0 prije 7.0.17 i verzije 8.0 prije 8.0.5 podložne su eksploataciji prije autentikacije, omogućavajući potpuno neautentikovanim napadačima da daljinski izazovu uskraćivanje usluge. Verzije MongoDB Servera 6.0 prije 6.0.21 također sadrže ranjivost, iako eksploatacija zahtijeva uspješnu autentifikaciju, smanjujući neposrednu površinu prijetnje, ali i dalje predstavljajući rizike od strane autentikovanih korisnika.
Organizacije koje koriste ove ugrožene verzije suočavaju se sa potencijalnim prekidima usluga, posebno u okruženjima visoke dostupnosti gdje zastoji baza podataka direktno utiču na poslovne operacije. Mrežni vektor napada (AV:N) u kombinaciji sa niskom složenošću napada (AC:L) čini ovu ranjivost posebno zabrinjavajućom za MongoDB implementacije izložene internetu ili one dostupne putem kompromitovanih mrežnih segmenata.
Prema savjetu objavljenom u zvaničnom savjetniku, sigurnosni timovi bi trebali dati prioritet hitnom ažuriranju na najnovije stabilne verzije: MongoDB Server 6.0.21, 7.0.17 ili 8.0.5, u zavisnosti od njihove trenutne verzije implementacije. Organizacije koje ne mogu odmah implementirati ažuriranja trebaju razmotriti implementaciju kontrola pristupa na mrežnom nivou, privremeno onemogućavanje OIDC autentifikacije ako nije ključna za poslovanje, ili postavljanje vatrozida za web aplikacije sposobnih za filtriranje zlonamjernih JSON sadržaja. Pre-autentifikacijska priroda ove ranjivosti čini je atraktivnom metom za prijetnje koje nastoje ometati serverske baze podataka bez potrebe za sofisticiranim napadačkim tehnikama. Administratori baza podataka bi trebali pratiti neuobičajene obrasce povezivanja, implementirati sveobuhvatno logovanje pokušaja OIDC autentifikacije i uspostaviti procedure za reagovanje na incidente radi brze obnove usluga nakon potencijalnih pokušaja eksploatacije.
