Uma vulnerabilidade de segurança recentemente divulgada no MongoDB está sendo ativamente explorada, com mais de 87.000 instâncias potencialmente suscetíveis identificadas em todo o mundo. A falha, identificada como CVE-2025-14847 (pontuação CVSS de 8,7) e apelidada de MongoBleed, permite que um atacante não autenticado vaze remotamente dados sensíveis da memória do servidor MongoDB. A vulnerabilidade afeta instâncias com compressão zlib habilitada, que é a configuração padrão do sistema.
A falha está enraizada na implementação de descompressão de mensagens zlib do MongoDB Server e permite que atacantes enviem pacotes de rede malformados para extrair fragmentos de dados privados. A exploração bem-sucedida pode permitir que um invasor extraia informações sensíveis de servidores MongoDB, incluindo informações de usuários, senhas e chaves de API. A vulnerabilidade decorre de um problema na lógica de descompressão de mensagens de rede baseada em zlib, permitindo que um atacante não autenticado envie pacotes de rede compactados e malformados para acionar a vulnerabilidade e acessar memória heap não inicializada sem credenciais válidas ou interação do usuário. A lógica afetada retornou o tamanho do buffer alocado em vez do comprimento real dos dados descompactados, permitindo que payloads malformados exponham memória heap adjacente.
Dados da empresa de gerenciamento de superfície de ataque Censys mostram que existem mais de 87.000 instâncias potencialmente vulneráveis, com a maioria localizada nos Estados Unidos, China, Alemanha, Índia e França. Pesquisadores da Wiz apontaram que 42% dos ambientes de nuvem têm pelo menos uma instância do MongoDB em uma versão vulnerável ao CVE-2025-14847, incluindo recursos expostos à internet e recursos internos. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou a CVE-2025-14847 ao seu catálogo de vulnerabilidades exploradas em 29 de dezembro de 2025, exigindo que agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 19 de janeiro de 2026.
Os usuários são aconselhados a atualizar para as versões MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Vale ressaltar que a vulnerabilidade também afeta o pacote rsync do Ubuntu, pois utiliza zlib. Como soluções temporárias, recomenda-se desabilitar a compressão zlib no MongoDB Server iniciando mongod ou mongos com uma opção networkMessageCompressors ou net.compression.compressors que omita explicitamente zlib, além de restringir a exposição de rede dos servidores MongoDB e monitorar logs do MongoDB em busca de conexões pré-autenticação anômalas.
Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.
Com informações de The Hacker News