Se ha revelado una falla de seguridad de alta gravedad en MongoDB que podría permitir a usuarios no autenticados leer memoria de montón no inicializada.
La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8,7), se ha descrito como un caso de manejo inadecuado de la inconsistencia de los parámetros de longitud, que surge cuando un programa no aborda adecuadamente escenarios en los que un campo de longitud es inconsistente con la longitud real de los datos asociados.
«Los campos de longitud no coincidente en los encabezados del protocolo comprimido Zlib pueden permitir la lectura de memoria dinámica no inicializada por parte de un cliente no autenticado», según una descripción de la falla en CVE.org.
La falla afecta las siguientes versiones de la base de datos:
- MongoDB 8.2.0 a 8.2.3
- MongoDB 8.0.0 a 8.0.16
- MongoDB 7.0.0 a 7.0.26
- MongoDB 6.0.0 a 6.0.26
- MongoDB 5.0.0 a 5.0.31
- MongoDB 4.4.0 a 4.4.29
- Todas las versiones de MongoDB Server v4.2
- Todas las versiones de MongoDB Server v4.0
- Todas las versiones de MongoDB Server v3.6
El problema se solucionó en las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB.
«Un exploit del lado del cliente de la implementación zlib del servidor puede devolver memoria dinámica no inicializada sin autenticarse en el servidor», dijo MongoDB. «Recomendamos encarecidamente actualizar a una versión fija lo antes posible».
Si la actualización inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresor admitidas por MongoDB son snappy y zstd.
«CVE-2025-14847 permite que un atacante remoto y no autenticado desencadene una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su montón», dijo OP Innovate. «Esto podría resultar en la divulgación de datos confidenciales en la memoria, incluida información de estado interno, indicadores u otros datos que pueden ayudar a un atacante en una mayor explotación».