Se ha revelado una falta de seguridad de reincorporación gravitación en MongoDB que podría permitir a usuarios no autenticados deletrear memoria de montón no inicializada.
La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8,7), se ha descrito como un caso de manejo inadecuado de la inconsistencia de los parámetros de largura, que surge cuando un software no aborda adecuadamente escenarios en los que un campo de largura es inconsistente con la largura auténtico de los datos asociados.
“Los campos de largura no coincidente en los encabezados del protocolo comprimido Zlib pueden permitir la leída de memoria dinámica no inicializada por parte de un cliente no autenticado”, según una descripción de la falta en CVE.org.
La falta afecta las siguientes versiones de la almohadilla de datos:
- MongoDB 8.2.0 a 8.2.3
- MongoDB 8.0.0 a 8.0.16
- MongoDB 7.0.0 a 7.0.26
- MongoDB 6.0.0 a 6.0.26
- MongoDB 5.0.0 a 5.0.31
- MongoDB 4.4.0 a 4.4.29
- Todas las versiones de MongoDB Server v4.2
- Todas las versiones de MongoDB Server v4.0
- Todas las versiones de MongoDB Server v3.6
El problema se solucionó en las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB.
“Un exploit del banda del cliente de la implementación zlib del servidor puede devolver memoria dinámica no inicializada sin autenticarse en el servidor”, dijo MongoDB. “Recomendamos insistentemente poner al día a una interpretación fija lo antiguamente posible”.
Si la aggiornamento inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresor admitidas por MongoDB son snappy y zstd.
“CVE-2025-14847 permite que un atacante remoto y no autenticado desencadene una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su montón”, dijo OP Innovate. “Esto podría resultar en la divulgación de datos confidenciales en la memoria, incluida información de estado interno, indicadores u otros datos que pueden ayudar a un atacante en una anciano explotación”.
