Falla crítica en MongoDB es explotada activamente y afecta más de 87 mil instancias en el mundo

Una vulnerabilidad de seguridad recientemente divulgada en MongoDB está siendo explotada activamente, con más de 87.000 instancias potencialmente susceptibles identificadas en todo el mundo. La falla, identificada como CVE-2025-14847 (puntuación CVSS de 8,7) y apodada MongoBleed, permite que un atacante no autenticado filtre remotamente datos sensibles de la memoria del servidor MongoDB. La vulnerabilidad afecta instancias con compresión zlib habilitada, que es la configuración predeterminada del sistema.

La falla está enraizada en la implementación de descompresión de mensajes zlib del MongoDB Server y permite que atacantes envíen paquetes de red malformados para extraer fragmentos de datos privados. La explotación exitosa puede permitir que un invasor extraiga información sensible de servidores MongoDB, incluyendo información de usuarios, contraseñas y claves de API. La vulnerabilidad proviene de un problema en la lógica de descompresión de mensajes de red basada en zlib, permitiendo que un atacante no autenticado envíe paquetes de red comprimidos y malformados para activar la vulnerabilidad y acceder a memoria heap no inicializada sin credenciales válidas o interacción del usuario. La lógica afectada retornó el tamaño del búfer asignado en lugar de la longitud real de los datos descomprimidos, permitiendo que payloads malformados expongan memoria heap adyacente.

Datos de la empresa de gestión de superficie de ataque Censys muestran que existen más de 87.000 instancias potencialmente vulnerables, con la mayoría ubicadas en Estados Unidos, China, Alemania, India y Francia. Investigadores de Wiz señalaron que el 42% de los ambientes de nube tienen al menos una instancia de MongoDB en una versión vulnerable al CVE-2025-14847, incluyendo recursos expuestos a internet y recursos internos. La Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) agregó el CVE-2025-14847 a su catálogo de vulnerabilidades explotadas el 29 de diciembre de 2025, exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones hasta el 19 de enero de 2026.

Se aconseja a los usuarios actualizar a las versiones MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30. Cabe destacar que la vulnerabilidad también afecta al paquete rsync de Ubuntu, ya que utiliza zlib. Como soluciones temporales, se recomienda deshabilitar la compresión zlib en MongoDB Server iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib, además de restringir la exposición de red de los servidores MongoDB y monitorear los logs de MongoDB en busca de conexiones preautenticación anómalas.

Este post fue traducido y resumido a partir de su versión original con el uso de IA, con revisión humana.

Con información de The Hacker News