تواجه منصة قواعد البيانات الشهيرة MongoDB ثغرة أمنية عالية الخطورة تحمل المعرف CVE-2026-25611، حيث تمنح المهاجمين غير الموثقين وسيلة لتعطيل الخوادم من خلال استنزاف الذاكرة العشوائية (RAM) عبر الشبكة. وتكمن خطورة هذه الثغرة في إمكانية استغلالها قبل مرحلة المصادقة، ما يضع أي خادم مكشوف للإنترنت عبر المنفذ الافتراضي 27017 في دائرة الاستهداف المباشر. ويؤدي نجاح الهجوم إلى توقف خدمة قاعدة البيانات بشكل كامل، وتوقف كافة التطبيقات المرتبطة بها نتيجة انقطاع الوصول إلى البيانات.
سجلت الثغرة درجة خطورة تبلغ 7.5 وفق مقياس CVSS 3.1، وصنفتها شركة MongoDB, Inc. ضمن الفئة العالية (High). وتتمحور طبيعة الخلل حول مفهوم الاستهلاك غير المتكافئ للموارد. ويركز الأثر المباشر لهذا الخلل على معيار “الإتاحة” (Availability)، دون وجود مؤشرات حالية على اختراق لسرية البيانات أو سلامتها.
الخلل البرمجي في معالجة الرسائل المضغوطة وآلية الاستغلال
يعود جذر المشكلة التقنية إلى مكون في بروتوكول الاتصال يسمى MongoDB Wire Protocol، وتحديداً عند معالجة نوع معين من الرسائل المخصصة لضغط البيانات بهدف تسريع النقل يسمى OP_COMPRESSED. وتعتمد الآلية البرمجية للخادم عند استقبال هذه الرسائل على قراءة قيمة الحجم المتوقع للبيانات بعد فك الضغط من رأس الرسالة. ويحجز الخادم مساحة في الذاكرة بناءً على هذه القيمة المصرح عنها قبل أن يبدأ فعلياً بعملية فك الضغط أو التحقق من صحة الحجم النهائي للبيانات.
يستغل المهاجمون هذه الثقة البرمجية المسبقة عبر إرسال حزم بيانات صغيرة الحجم، فعلى سبيل المثال يمكن إرسال حزمة بحجم 47 كيلوبايت فقط مع وضع قيمة مزيفة في رأس الرسالة تشير إلى أن حجمها بعد فك الضغط هو 48 ميغابايت. واستجابة لذلك، يخصص الخادم المساحة الكبيرة المطلوبة فوراً لكل اتصال وارد، ما ينتج عنه تضخيم في استهلاك الموارد بنسبة هائلة تصل إلى 1027 ضعفاً.
ومع تكرار هذه الاتصالات بشكل متزامن، تنفد الذاكرة المتاحة في النظام، ما يجبر نواة نظام التشغيل على إنهاء عملية قاعدة البيانات لحماية استقرار النظام، وهو ما يظهر في السجلات تحت رمز الخروج 137.
الإصدارات المتأثرة وطرق الحماية والوقاية التقنية
توضح التحليلات الأمنية التي أجراها فريق Cato CTRL أن حجم التعرض للثغرة واسع، إذ كشفت بيانات منصة Shodan عن وجود أكثر من 207 آلاف خادم MongoDB مكشوف للإنترنت العام. وتتأثر كافة الإصدارات التي تفعل خاصية ضغط الرسائل افتراضياً، وهي ميزة مفعلة منذ الإصدار MongoDB 3.6.
وتبرز سرعة الانهيار بوضوح في البيئات ذات الموارد المحدودة، حيث يمكن لإسقاط خادم بذاكرة 512 ميغابايت أن يستغرق ثانيتين فقط عبر 10 اتصالات متزامنة، بينما قد يتطلب إسقاط الخوادم المؤسسية الكبيرة بذاكرة 64 غيغابايت أقل من دقيقة واحدة عبر نحو 1363 اتصالاً.
تتطلب المعالجة الجذرية لهذه الثغرة التحديث الفوري إلى النسخ الآمنة التي أطلقتها الشركة، وهي MongoDB 8.2.4 و MongoDB 8.0.18 و MongoDB 7.0.29. وفي حالات تعذر التحديث العاجل، ينصح بتعطيل خاصية ضغط الرسائل عبر الشبكة باستخدام الأمر (–networkMessageCompressors=disabled)، إضافة إلى عزل الخوادم عن الوصول العام وحصرها ضمن شبكات VPN الموثوقة. كما يجب على مسؤولي الأنظمة مراقبة مؤشرات الاستغلال، مثل الارتفاع المفاجئ في اتصالات TCP من مصدر واحد، أو القفزات غير المبررة في استهلاك الذاكرة، مع ضرورة تجنب إعدادات الوصول المفتوح (0.0.0.0/0) في خدمة MongoDB Atlas السحابية لضمان أمن قواعد البيانات.
