Una vulnerabilidad de seguridad recientemente revelada en MongoDB ha sido objeto de explotación activa en la naturaleza, con más de 87.000 casos potencialmente susceptibles identificados en todo el mundo.
La vulnerabilidad en cuestión es CVE-2025-14847 (Puntuación CVSS: 8,7), que permite a un atacante no autenticado filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. ha sido nombrado en clave MongoBleed.
«Una falla en la compresión zlib permite a los atacantes provocar una fuga de información», OX Security dicho. «Al enviar paquetes de red con formato incorrecto, un atacante puede extraer fragmentos de datos privados».
El problema tiene su origen en la implementación de descompresión de mensajes zlib del servidor MongoDB («message_compressor_zlib.cpp»). Afecta a instancias con la compresión zlib habilitada, que es la configuración predeterminada. La explotación exitosa de la deficiencia podría permitir a un atacante extraer información confidencial de los servidores MongoDB, incluida información de usuario, contraseñas y claves API.
«Aunque el atacante podría necesitar enviar una gran cantidad de solicitudes para recopilar la base de datos completa, y algunos datos podrían no tener sentido, cuanto más tiempo tenga el atacante, más información podrá recopilar», añadió OX Security.
La empresa de seguridad en la nube Wiz dijo que CVE-2025-14847 surge de una falla en la lógica de descompresión de mensajes de red basada en zlib, lo que permite a un atacante no autenticado enviar paquetes de red comprimidos y con formato incorrecto para activar la vulnerabilidad y acceder a memoria dinámica no inicializada sin credenciales válidas o interacción del usuario.
«La lógica afectada devolvió el tamaño del búfer asignado (output.length()) en lugar de la longitud real de los datos descomprimidos, permitiendo que cargas útiles de tamaño insuficiente o con formato incorrecto expongan la memoria del montón adyacente», dijeron los investigadores de seguridad Merav Bar y Amitai Cohen. dicho. «Debido a que se puede acceder a la vulnerabilidad antes de la autenticación y no requiere la interacción del usuario, los servidores MongoDB expuestos a Internet están particularmente en riesgo».
Los datos de la empresa de gestión de superficies de ataque Censys muestran que hay más de 87.000 instancias potencialmente vulnerablesla mayoría de ellos ubicados en EE. UU., China, Alemania, India y Francia. Wiz señaló que el 42% de los entornos de nube tienen al menos una instancia de MongoDB en una versión vulnerable a CVE-2025-14847. Esto incluye tanto recursos internos como expuestos a Internet.
Actualmente se desconocen los detalles exactos sobre la naturaleza de los ataques que aprovechan la falla. Se recomienda a los usuarios actualizar a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB. Parches para MongoDB Atlas han sido aplicados. Vale la pena señalar que la vulnerabilidad también afecta a la Paquete rsync de Ubuntuya que utiliza zlib.
Como solución temporal, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Otras mitigaciones incluyen restringir la exposición de la red de los servidores MongoDB y monitorear los registros de MongoDB para detectar conexiones anómalas de autenticación previa.
Fuente