Una vulnerabilidad importante permite a
atacantes no autenticados filtrar de forma remota datos confidenciales
de la memoria del servidor MongoDB. Una falla en la compresión
zlib permite a los atacantes provocar una fuga de información. Al
enviar paquetes de red con formato incorrecto, un atacante puede extraer
fragmentos de datos privados.
La vulnerabilidad, identificada CVE-2025-14847 (CVSS 8.7), afecta a todas las versiones de MongoDB desde hace
aproximadamente una década (desde 3.-x a 8.x) y ya hay actualizaciones
disponibles.
- MongoDB 8.2.0 through 8.2.3
- MongoDB 8.0.0 through 8.0.16
- MongoDB 7.0.0 through 7.0.26
- MongoDB 6.0.0 through 6.0.26
- MongoDB 5.0.0 through 5.0.31
- MongoDB 4.4.0 through 4.4.29
- All MongoDB Server v4.2 versions
- All MongoDB Server v4.0 versions
- All MongoDB Server v3.6 versions
Además, alguien de Elastic Security decidió publicar un exploit para CVE-2025–14847 el día de Navidad y OX decidió que sería una gran idea publicar detalles técnicos en Nochebuena.
En este momento, solo en Argentina hay casi 200 servidores MongoDB
expuestos a Internet y seguramente vulnerables.
La vulnerabilidad afecta a cualquier
servidor con un puerto MongoDB expuesto públicamente, y también afecta a
servidores privados a los que los atacantes podrían llegar mediante movimiento
lateral.
Los atacantes pueden aprovechar esto para extraer información confidencial de
los servidores MongoDB, incluida información de usuario, contraseñas, claves
API y más. Aunque es posible que el atacante necesite enviar una gran cantidad
de solicitudes para recopilar la base de datos completa, y algunos datos
pueden no tener sentido, cuanto más tiempo tenga un atacante, más información
podrá recopilar.
Acciones recomendadas
-
Si tiene un servidor MongoDB expuesto públicamente dentro de los paquetes
afectados, actualice inmediatamente a la versión reparada. - Cierre el puerto por defecto 27017 de MongoDB.
-
Cierre los puertos que no estén en uso y que puedan ser utilizados por
atacantes para enviar solicitudes de red directas al servidor MongoDB. -
Si es posible, deshabilite la compresión zlib en sus servidores;
aunque podría afectar el rendimiento, podría ayudar a mitigar este tipo de
ataques. -
Si está utilizando MongoDB, actualice a la última versión de corrección o
desactive la descompresión de zlib.
Debido a lo sencillo que es de explotar, se espera una alta probabilidad de
explotación masiva e incidentes de seguridad relacionados. El autor del
exploit no ha proporcionado detalles sobre cómo detectar el exploit en los
registros a través de productos como… Elastic.
Fuente:
DoublePulsar