Kritische MongoDB Lücke 12/2025 - CVE-2025-14847
Am 25.12.2025 wurde bei Heise Online eine Warnung zu einer kritischen Sicherheitslücke veröffentlicht, die die von FE2 verwendete MongoDB Datenbank betrifft.
„MongoBleed“: Exploit für kritische Lücke in MongoDB erleichtert Angriffe | heise online
Zwei Tage später, am 27.12.2025, wurde ein Update veröffentlicht, dass die genannte Lücke bereits aktiv ausgenutzt wird.
„MongoBleed“: Exploit für kritische Lücke in MongoDB erleichtert Angriffe | heise online
Die Lücke (CVE-2025-14847) ist mit einem CVSS Score von 8,7 bewertet und damit äußerst kritisch und leicht auszunutzen. Die Lücke ist beim Hersteller der Datenbank am 15.12.2025 aufgenommen und am 19.12.2025 behoben worden: [SERVER-115508] Make minimally sized buffers for uncompressed Messages - MongoDB Jira
Mit diesem Artikel wollen wir den Administratoren unserer FE2-Software Schritte aufzeigen, die ein Ausnutzen der Lücke verhindern.
Per Standard ist die Datenbank in FE2 ausschließlich via localhost erreichbar und damit abgesichert gegen Angriffe von extern. Unabhängig davon empfehlen wir schnellstmöglich das bereitgestellte Update einzuspielen.
Betroffene FE2-Versionen:
Alle FE2-Versionen seit 2.24 (Veröffentlicht am 24.03.2022)
Lösung für Docker
Für FE2-Installationen unter Docker muss die entsprechende gepatchte Version für das mongo Image in der docker-compose.yml eingetragen werden. Im Anschluss muss via
docker-compose down && docker-compose up -d
die neue Version angewendet werden.
Stand 29.12.2025 existiert nur für MongoDB 7.0 und neuer eine Hotfixversion für Docker.
Versionen <= 6.0 (FE2 2.38 und älter) haben noch kein aktuelles Image. Hier empfehlen wir das Update auf die FE2 Version 2.39 (Tag alamosgmbh/fe2:2.39-STABLE) mit der gefixten MongoDB (Tag mongo:7.0.28). Beachten Sie hier bitte auch, dass Sie alle Zwischenschritte machen (2.36 > 2.37 > 2.38 > 2.39) und jeweils die MongoDB-Version verwenden, die in unserem Github-Repository hinterlegt ist.
Lösung für Windows
Lösungsweg 1: Update auf aktuellste FE2 Version 2.39
Die einfachste Möglichkeit, die Lücke zu schließen ist, wenn Sie auf die aktuell verfügbare FE2 Version für 2.39 aus dem Lizenzportal installieren.
Beachten Sie bitte, dass Sie bei FE2-Version mit 2.37 oder älter zuerst alle Zwischenschritte durchführen (also z. B: 2.36 > 2.37 > 2.38 > 2.39)
Lösungsweg 2: Erreichbarkeit der Datenbank auf localhost beschränken
In der Standardkonfiguration ist jede MongoDB Installation nur via localhost (127.0.0.1) erreichbar. In bestimmten Fällen kann es aber für den Administrator notwendig sein, die Datenbank von einem anderen Rechner aus zu verwalten. Um die Ausnutzung der Lücke zu verhindern, stellen Sie die Windows-Firewall so ein, dass die MongoDB nicht von einem anderen PC aus erreichbar ist.
Stellen Sie zusätzlich sicher, dass die Maschine, auf der die Datenbank installiert ist entsprechend abgesichert ist. Eine Ausnutzung der Lücke wäre möglich, falls ein Angreifer Zugang zum Server erhält.
Lösungsweg 3: Datenbank manuell aktualisieren
Dieser Weg dient nur als Notlösung und sollte nur in ganz bestimmten Ausnahmefällen verwendet werden, falls Lösungsweg 1 und 2 nicht anwendbar sind!
Dieser Lösungsweg ist ausschließlich für FE2-Versionen ab 2.35 möglich. Ältere FE2-Installationen müssen mit Lösungsweg 1 oder 2 abgesichert werden!
Beim Start von FE2 sehen Sie im Log die installierte Datenbank-Version:
Alternativ sehen Sie die Version auch in der FE2-Administration:
Wenn Sie hier eine Version 4.2 oder älter sehen, aktualisieren Sie am besten FE2 anhand des Lösungsweg 1. Sollte hier 4.4, 5.0.x, 6.0.x oder 7.0.x stehen, können Sie diesen Lösungsweg verwenden.
Schritt 1: Ermitteln der Datenbankversion
Schritt 2: Download der entsprechenden Binaries:
Für 4.4: https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-4.4.30.zip
Für 5.0: https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-5.0.32.zip
Für 6.0: https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-6.0.27.zip
Für 7.0: https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-7.0.28.zip
Aktualisieren Sie auf keinen Fall die Datenbank manuell von z. B. 5.0 auf 6.0 in diesem Schritt! Dies kann ggf. zu einer korrupten Datenbank und in diesem Zuge zu Datenverlust führen!
Schritt 3: Stoppen der Dienste
FE2 Server
FE2 MongoDB
Schritt 4: Öffnen des Installationsverzeichnisses von FE2
Standard: C:\Program Files\Alamos GmbH\FE2
Schritt 5: Öffnen des Ordners für die MongoDB:
C:\Program Files\Alamos GmbH\FE2\files\mongodb\bin
Schritt 6: Löschen der folgenden MongoDB Dateien
mongod.exe
mongos.exe
Schritt 7: Öffnen der heruntergeladenen ZIP-Datei und kopieren der zwei markierten Dateien aus der ZIP in das Verzeichnis, in dem sich die nun gelöschten Dateien befunden haben. Ignorieren Sie alle anderen Dateien.
Schritt 8: Starten der Dienste
Starten Sie zuerst den Dienst “FE2 MongoDB” und prüfen Sie, ob der Dienst korrekt startet und sich nicht wieder beendet.
Wenn der Dienst erfolgreich gestartet ist, starten Sie den Dienst “FE2 Server”.
Beobachten Sie das FE2-Log, ob Sie ggf. Fehler sehen, die auf die Datenbank zurückzuführen sind.
Prüfen Sie im Log bzw. in der FE2 Weboberfläche, ob die Datenbankversion mit der von Ihnen aktualisierten Datei übereinstimmt.