Se ha revelado una vulnerabilidad de seguridad de alta gravedad en MongoDB que podría permitir a usuarios no autenticados leer memoria heap no inicializada.
La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8.7), se ha descrito como un caso de manejo inadecuado de la inconsistencia del parámetro de longitud, que surge cuando un programa no aborda adecuadamente los escenarios en los que un campo de longitud es inconsistente con la longitud real de los datos asociados.
“Los campos de longitud no coincidentes en las cabeceras del protocolo comprimido Zlib pueden permitir la lectura de memoria heap no inicializada por un cliente no autenticado”, según una descripción de la vulnerabilidad en CVE.org.
La vulnerabilidad afecta a las siguientes versiones de la base de datos:
- MongoDB 8.2.0 hasta 8.2.3
- MongoDB 8.0.0 hasta 8.0.16
- MongoDB 7.0.0 hasta 7.0.26
- MongoDB 6.0.0 hasta 6.0.26
- MongoDB 5.0.0 hasta 5.0.31
- MongoDB 4.4.0 hasta 4.4.29
- Todas las versiones de MongoDB Server v4.2
- Todas las versiones de MongoDB Server v4.0
- Todas las versiones de MongoDB Server v3.6
El problema se ha solucionado en las versiones de MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30.
“Una explotación del lado del cliente de la implementación zlib del servidor puede devolver memoria heap no inicializada sin autenticarse en el servidor”, indicó MongoDB. “Recomendamos encarecidamente actualizar a una versión corregida lo antes posible.”
Si la actualización inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o una opción net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresión admitidas por MongoDB son snappy y zstd.
“CVE-2025-14847 permite a un atacante remoto no autenticado activar una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su heap”, señaló OP Innovate. “Esto podría resultar en la divulgación de datos confidenciales en memoria, incluida la información de estado interno, los punteros u otros datos que puedan ayudar a un atacante en una explotación adicional.”
