MongoDB Serverにおいて、OpenID Connect(OIDC)認証の処理に起因する深刻なDoS(サービス拒否)脆弱性が発見されました。CVE-2025-6709として報告されたこの問題は、未認証の状態でも悪用が可能であり、特定のJSONデータを送信することでサーバをクラッシュさせることができます。
脆弱性の概要と影響範囲
この脆弱性は、JSONデータに含まれる特定の日時形式の値に対する入力バリデーションが不十分なために発生し、MongoDB ServerのOIDC認証処理中にインバリアントエラーが発生し、サーバのプロセスが停止します。
影響を受けるバージョンは以下の通りです。
| バージョン系列 | 影響を受けるバージョン | 修正済みバージョン |
|---|---|---|
| v6.0 | 6.0.21未満(※認証後に悪用可能) | 6.0.21以上 |
| v7.0 | 7.0.17未満 | 7.0.17以上 |
| v8.0 | 8.0.5未満 | 8.0.5以上 |
特にv7.0およびv8.0では、認証前でも攻撃が成立するためリスクはより深刻です。
悪用手法と影響
攻撃者はMongoDBクライアント(例:mongo shell)を用いて、以下のような特別に細工されたJSONペイロードをOIDC認証中に送信することで脆弱性を突くことができます。
{ "maliciousField": "2025-06-27T00:00:00Z" }
このペイロードにより、MongoDBサーバはインバリアントチェックに失敗し、クラッシュ状態に陥ります。
一時的な緩和策と推奨対応
MongoDB側は、現時点ではこの脆弱性の悪用事例は確認されていないとしていますが、mongo shell等による再現は容易であり、早急な対応が求められます。
推奨対応
-
直ちに該当バージョンからパッチ適用済みの最新バージョンへアップデート
-
アップデートが困難な場合は、一時的にOIDC認証機能を無効化
-
認証ログに不審なJSONペイロードや日付オブジェクトの出現がないか監視を強化
関連記事
MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開
期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入
ランサムウェア グループがWindowsのゼロデイ 脆弱性をサイバー攻撃に悪用(CVE-2025-29824)
Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231)
WordPressの人気プラグイン Everest Formsで深刻な脆弱性(CVE-2025-1128)
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
Sophosが致命的な複数の脆弱性に対する緊急セキュリティアップデート(CVE-2024-12727、CVE-2024-12728、CVE-2024-12729)
F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029)
TP-Linkのルーター(TL-WR845N )で危険度の高い脆弱性 (CVE-2024-57040)
