Una vulnerabilidad de seguridad recientemente revelada en MongoDB ha sido explotada en estado salvaje, con más de 87.000 instancias potencialmente vulnerables identificadas en todo el mundo.
La vulnerabilidad en cuestión, CVE-2025-14847 (puntuación CVSS: 8,7), podría permitir que un atacante remoto no autenticado filtre datos confidenciales de la memoria de un servidor MongoDB. El nombre en clave es MongoBleed.
«Una falla en la compresión zlib podría permitir que un atacante provoque la divulgación de información», dijo OX Security. «Al enviar paquetes de red con formato incorrecto, un atacante puede extraer datos privados».
La causa de este problema está en la implementación de descompresión de mensajes zlib del servidor MongoDB (‘message_compressor_zlib.cpp’). Esto afecta a las instancias que tienen habilitada la compresión zlib, que es la configuración predeterminada. La explotación exitosa de esta falla podría permitir a un atacante extraer información confidencial, como información de usuario, contraseñas y claves API de un servidor MongoDB.
«Un atacante tendría que enviar una gran cantidad de solicitudes para recopilar toda la base de datos, y algunos datos pueden no tener sentido, pero cuanto más tiempo tenga el atacante, más información podrá recopilar», añadió OX Security.
Según la empresa de seguridad en la nube Wiz, CVE-2025-14847 se debe a una falla en la lógica de descompresión de mensajes de red basada en zlib que permite a un atacante no autenticado enviar un paquete de red comprimido con formato incorrecto, lo que desencadena una vulnerabilidad y accede a memoria dinámica no inicializada sin credenciales válidas ni interacción del usuario.
Los investigadores de seguridad Merav Bar y Amitai Cohen dijeron: «La lógica afectada devolvió el tamaño del búfer asignado (output.length()) en lugar de la longitud real de los datos descomprimidos, permitiendo que una carga útil de tamaño insuficiente o mal formado exponga la memoria del montón adyacente». «Los servidores MongoDB expuestos a Internet están particularmente en riesgo porque se puede acceder a esta vulnerabilidad antes de la autenticación y no requiere interacción del usuario».
Según datos de la empresa de gestión de superficies de ataque Censys, hay más de 87.000 instancias potencialmente vulnerables, la mayoría ubicadas en Estados Unidos, China, Alemania, India y Francia. Wiz señaló que el 42% de los entornos de nube tienen al menos una instancia de MongoDB con una versión vulnerable a CVE-2025-14847. Esto incluye tanto recursos internos como expuestos a Internet.
Los detalles exactos sobre la naturaleza del ataque que aprovechó esta falla se desconocen en este momento. Recomendamos que los usuarios actualicen a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB. Se ha aplicado el parche MongoDB Atlas. Tenga en cuenta que el paquete rsync de Ubuntu usa zlib, por lo que esta vulnerabilidad también afecta a este paquete.
Como solución temporal, recomendamos deshabilitar la compresión zlib en su servidor MongoDB iniciando mongod o mongos con las opciones networkMessageCompressors o net.compression.compressors que omiten explícitamente zlib. Otras mitigaciones incluyen limitar la exposición de la red de los servidores MongoDB y monitorear los registros de MongoDB para detectar conexiones anómalas de autenticación previa.
Source link
