Se ha identificado una falla de seguridad de alta gravedad en MongoDB que podría permitir que un usuario no autenticado lea memoria de montón no inicializada.
La vulnerabilidad, identificada como CVE-2025-14847 (puntuación CVSS: 8,7), se describe como un caso de manejo inadecuado de la falta de coincidencia de parámetros de longitud. La discrepancia en los parámetros de longitud ocurre cuando un programa no logra manejar adecuadamente escenarios en los que el campo de longitud no coincide con la longitud real de los datos asociados.
Según la descripción de la falla en CVE.org, «Una discrepancia en el campo de longitud del encabezado del protocolo de compresión Zlib podría permitir que un cliente no autenticado lea una memoria dinámica no inicializada».
Esta falla afecta a las siguientes versiones de la base de datos:
MongoDB 8.2.0 a 8.2.3 MongoDB 8.0.0 a 8.0.16 MongoDB 7.0.0 a 7.0.26 MongoDB 6.0.0 a 6.0.26 MongoDB 5.0.0 a 5.0.31 MongoDB 4.4.0 a 4.4.29 Todos los servidores MongoDB versiones v4.2 Todos los servidores MongoDB Versión v4.0 Todos los servidores MongoDB versión v3.6
Este problema se resolvió en las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB.
«El abuso por parte del cliente de la implementación zlib del servidor podría resultar en que la memoria dinámica no inicializada se devuelva sin autenticación al servidor», dijo MongoDB. «Recomendamos encarecidamente que actualice a la versión fija lo antes posible».
Si las actualizaciones inmediatas no son una opción, recomendamos deshabilitar la compresión zlib en su servidor MongoDB iniciando mongod o mongos con las opciones networkMessageCompressors o net.compression.compressors que omiten explícitamente zlib. Otras opciones de compresión admitidas por MongoDB son snappy y zstd.
«CVE-2025-14847 permite que un atacante remoto no autenticado provoque una condición en la que el servidor MongoDB puede devolver memoria no inicializada del montón», dijo OP Innovate. «Esto podría potencialmente exponer datos confidenciales en la memoria, incluida información de estado interno, punteros u otros datos que podrían ayudar a una mayor explotación por parte de un atacante».
Source link
