Una vulnerabilidad de seguridad recientemente revelada en MongoDB ha sido explotada activamente en estado salvaje, y se han identificado más de 87 000 instancias potencialmente vulnerables en todo el mundo.

La vulnerabilidad en cuestión es CVE-2025-14847 (puntuación CVSS: 8,7), que permite a un atacante no autenticado filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. Se le ha dado un nombre en código Sangrado mongol .

«Una falla en la compresión zlib permite a los atacantes provocar la filtración de información», OX Security dijo . «Al enviar paquetes de red mal formados, un atacante puede extraer fragmentos de datos privados».

El problema tiene su origen en la implementación de descompresión de mensajes zlib de MongoDB Server (» message_compressor_zlib.cpp «). Afecta a las instancias con la compresión zlib habilitada, que es la configuración predeterminada. La explotación satisfactoria de esta deficiencia podría permitir a un atacante extraer información confidencial de los servidores MongoDB, incluida la información del usuario, las contraseñas y las claves de API.

«Si bien es posible que el atacante necesite enviar una gran cantidad de solicitudes para recopilar la base de datos completa y algunos datos no tengan sentido, cuanto más tiempo tenga el atacante, más información podrá recopilar», agregó OX Security.

La empresa de seguridad en la nube Wiz dijo que el CVE-2025-14847 se debe a una falla en la lógica de descompresión de mensajes de red basada en zlib, que permite a un atacante no autenticado enviar paquetes de red comprimidos y mal formados para activar la vulnerabilidad y acceder a una memoria dinámica no inicializada sin credenciales válidas ni interacción con el usuario.

«La lógica afectada devolvió el tamaño del búfer asignado (output.length ()) en lugar de la longitud real de los datos descomprimidos, lo que permitió que las cargas útiles de tamaño insuficiente o mal formadas expusieran la memoria acumulada adyacente», dijeron los investigadores de seguridad Merav Bar y Amitai Cohen dijo . «Como se puede acceder a la vulnerabilidad antes de la autenticación y no requiere la interacción del usuario, los servidores MongoDB expuestos a Internet corren un riesgo especial».

Los datos de la empresa de gestión de superficies de ataque Censys muestran que hay más de 87 000 instancias potencialmente vulnerables , y la mayoría de ellos se encuentran en EE. UU., China, Alemania, India y Francia. Wiz señaló que el 42% de los entornos de nube tienen al menos una instancia de MongoDB en una versión vulnerable al CVE-2025-14847. Esto incluye tanto los recursos internos como los expuestos a Internet.

Actualmente se desconocen los detalles exactos que rodean la naturaleza de los ataques que aprovechan la falla. Se recomienda a los usuarios que actualicen a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB. Parches para MongoDB Atlas se han aplicado. Vale la pena señalar que la vulnerabilidad también afecta a Paquete Ubuntu rsync , ya que usa zlib.

Como solución temporal, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción NetworkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Otras medidas de mitigación incluyen restringir la exposición a la red de los servidores de MongoDB y supervisar los registros de MongoDB para detectar conexiones anómalas previas a la autenticación.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.