Una vulnerabilidad de seguridad recientemente revelada en MongoDB ha sido objeto de explotación activa en la naturaleza, con más de 87.000 casos potencialmente susceptibles identificados en todo el mundo.
La vulnerabilidad en cuestión es CVE-2025-14847 (Puntuación CVSS: 8,7), que permite a un atacante no autenticado filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. Ha recibido el nombre en código MongoBleed.
“Una descompostura en la compresión zlib permite a los atacantes provocar una fuga de información”, dijo OX Security. “Al dirigir paquetes de red con formato incorrecto, un atacante puede extraer fragmentos de datos privados”.
El problema tiene su origen en la implementación de descompresión de mensajes zlib del servidor MongoDB (“message_compressor_zlib.cpp”). Afecta a instancias con la compresión zlib habilitada, que es la configuración predeterminada. La explotación exitosa de la deficiencia podría permitir a un atacante extraer información confidencial de los servidores MongoDB, incluida información de beneficiario, contraseñas y claves API.
“Aunque el atacante podría escasear dirigir una gran cantidad de solicitudes para resumir la pulvínulo de datos completa, y algunos datos podrían no tener sentido, cuanto más tiempo tenga el atacante, más información podrá resumir”, añadió OX Security.
La empresa de seguridad en la cúmulo Wiz dijo que CVE-2025-14847 surge de una descompostura en la razonamiento de descompresión de mensajes de red basada en zlib, lo que permite a un atacante no autenticado dirigir paquetes de red comprimidos y con formato incorrecto para activar la vulnerabilidad y obtener a memoria dinámica no inicializada sin credenciales válidas o interacción del beneficiario.
“La razonamiento afectada devolvió el tamaño del búfer asignado (output.length()) en emplazamiento de la largo existente de los datos descomprimidos, permitiendo que cargas enseres de tamaño insuficiente o con formato incorrecto expongan la memoria del montón adyacente”, dijeron los investigadores de seguridad Merav Bar y Amitai Cohen. “Conveniente a que se puede obtener a la vulnerabilidad ayer de la autenticación y no requiere la interacción del beneficiario, los servidores MongoDB expuestos a Internet están particularmente en aventura”.
Los datos de la empresa de encargo de superficies de ataque Censys muestran que hay más de 87.000 instancias potencialmente vulnerables, la mayoría de ellas ubicadas en EE. UU., China, Alemania, India y Francia. Wiz señaló que el 42% de los entornos de cúmulo tienen al menos una instancia de MongoDB en una lectura pusilánime a CVE-2025-14847. Esto incluye tanto capital internos como expuestos a Internet.
Actualmente se desconocen los detalles exactos sobre la naturaleza de los ataques que aprovechan la descompostura. Se recomienda a los usuarios refrescar a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB. Se han chapón parches para MongoDB Atlas. Vale la pena señalar que la vulnerabilidad todavía afecta al paquete rsync de Ubuntu, ya que utiliza zlib.
Como opción temporal, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Otras mitigaciones incluyen restringir la exposición de la red de los servidores MongoDB y monitorear los registros de MongoDB para detectar conexiones anómalas de autenticación previa.
