30 de diciembre de 2025

MongoBleed: explotación activa de una vulnerabilidad crítica en MongoDB expone datos sin autenticación

MongoBleed: explotación activa de una vulnerabilidad crítica en MongoDB expone datos sin autenticación

La vulnerabilidad crítica CVE-2025-14847, conocida como MongoBleed, está siendo explotada activamente a escala global y ya permitió la filtración de datos sensibles desde más de 87.000 servidores expuestos. El fallo afecta directamente a MongoDB, comprometiendo instancias accesibles por red sin necesidad de autenticación previa.

Detalles técnicos de la vulnerabilidad

CVE-2025-14847 tiene una puntuación CVSS 8.7 (alta) y reside en la implementación de descompresión zlib del servidor MongoDB. Afecta a las siguientes versiones:

  • MongoDB 7.0 anteriores a 7.0.28

  • MongoDB 8.0 anteriores a 8.0.17

  • MongoDB 8.2 en versiones iniciales

El problema se manifiesta cuando la compresión zlib está habilitada por defecto. Atacantes remotos pueden enviar paquetes de red malformados con cabeceras zlib inconsistentes, provocando que el servidor devuelva fragmentos de memoria heap no inicializada antes de cualquier verificación de autenticación.

El impacto técnico es severo: se pueden exponer credenciales, tokens de sesión, claves API y datos de aplicaciones residentes en memoria, con un vector de red puro y baja complejidad de explotación.

Explotación activa y alcance global

Investigadores de OX Security y Aikido Security confirmaron explotación in the wild. Sus análisis detectaron más de 87.000 instancias vulnerables accesibles públicamente, principalmente a través del puerto 27017 expuesto a internet.

Pruebas de concepto públicas ya demuestran fugas confiables de memoria heap adyacente, incluyendo datos de consultas previas y estados internos del servidor, sin requerir interacción del usuario ni credenciales válidas.

Entre los indicadores de compromiso (IoC) más relevantes se encuentran:

  • Tráfico zlib comprimido inusual desde orígenes no confiables.

  • Respuestas del servidor que contienen fragmentos de memoria inesperados.

  • Accesos repetidos al puerto 27017 con payloads no estándar.

Versiones afectadas y mitigaciones urgentes

La vulnerabilidad impacta tanto a ediciones Community como Enterprise de MongoDB cuando zlib está habilitado. Los parches oficiales ya se encuentran disponibles en:

  • MongoDB 7.0.28 o superior

  • MongoDB 8.0.17 o superior

  • Versiones actualizadas de la rama 8.2

Recomendaciones inmediatas

  • Aplicar parches de seguridad de forma prioritaria.

  • Deshabilitar compresión zlib si no es estrictamente necesaria.

  • Restringir el acceso público al puerto 27017 mediante firewall o listas de control.

  • Monitorear logs en busca de requests comprimidos no autenticados.

  • Escanear contenedores, VMs y clústeres Kubernetes para detectar instancias expuestas.

La magnitud de MongoBleed refuerza un patrón ya conocido: servicios de bases de datos expuestos a internet siguen siendo un objetivo prioritario, y la combinación de configuraciones por defecto + fallos en capas bajas puede derivar en fugas masivas sin señales claras de intrusión.

Fuente: https://www.rescana.com/post/mongodb-mongobleed-vulnerability-cve-2025-14847-critical-unauthenticated-memory-leak-and-data-exp
← Anterior Repositorios de código abierto como infr...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Los frameworks de seguridad tradicionales no alcanzan frente a los ataques de IA
Repositorios de código abierto como infraestructura de phishing: el caso de los paquetes npm maliciosos
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio