Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Gestión incorrecta de zlib comprimidos en MongoDB

Fecha de publicación 30/12/2025
Identificador
INCIBE-2025-0735
Importancia
4 - Alta
Recursos Afectados

Este problema afecta a las versiones de MongoDB:

  • MongoDB 8.2.0 a 8.2.2;
  • MongoDB 8.0.0 a 8.0.16;
  • MongoDB 7.0.0 a 7.0.26;
  • MongoDB 6.0.0 a 6.0.26;
  • MongoDB 5.0.0 a 5.0.31;
  • MongoDB 4.4.0 a 4.4.29;
  • MongoDB Server v4.2, todas las versiones;
  • MongoDB Server v4.0, todas las versiones;
  • MongoDB Server v3.6, todas las versiones.
Descripción

MongoDB ha reportado 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante remoto leer datos confidenciales de la memoria del servidor MongoDB sin necesidad de estar autenticado. 

Solución

Se recomienda encarecidamente actualizar una de las siguientes versiones:

  • MongoDB 8.2.3;
  • MongoDB 8.0.17;
  • MongoDB 7.0.28;
  • MongoDB 6.0.27;
  • MongoDB 5.0.32;
  • MongoDB 4.4.30.

Si no puede actualizar su producto inmediatamente, deshabilite la comprensión zlib en el servidor MongoDB. Para hacerlo, inicia mongod o mongos usando la opción 'networkMessageCompressors' o 'net.compression.compressors', especificando que se omita zlib. Algunas opciones seguras que se pueden usar son snappy, zstd o disabled.

Para mayor seguridad, se recomienda reforzar los controles de red, limitando la exposición de los servidores MongoDB desde redes públicas mediante firewalls.

Detalle

CVE-2025-14847: vulnerabilidad en la implementación de la compresión zlib del servidor, generada por la gestión inadecuada de inconsistencias en el parámetro de longitud en los encabezados de protocolo comprimidos de Zlib. La causa principal se encuentra en 'message_compressor_zlib.cpp', donde se devuelve la dimensión del búfer asignado en vez de la longitud concreta de los datos que han sido descomprimidos. Esto hace que el servidor asigne un búfer de memoria más amplio, lo que posibilita que cargas útiles de tamaño inadecuado o mal formadas accedan a la memoria del montón adyacente. Si un atacante remoto explota esta vulnerabilidad, podría acceder a datos confidenciales de los usuarios, contraseñas, claves API, etc. al enviar un mensaje malicioso que se descomprima en una zona del búfer de tamaño más grande. 

Se ha denominado MongoBleed a esta vulnerabilidad, la cual, aunque tiene una alta gravedad, se considera especialmente crítica debido a la amplia utilización de estos servidores a nivel mundial y la gran cantidad de sistemas vulnerables expuestos. Hay publicada en Internet una Prueba de Concepto (PoC) que explota este fallo.

CVE
Explotación
Fabricante
mongodb
Identificador CVE
CVE-2025-14847
Severidad
Alta
Listado de referencias
Make minimally sized buffers for uncompressed Messages
MongoBleed: vulnerabilidad permite filtrar datos de forma remota en MongoDB (hay exploit, PARCHEA!)
MongoDB addressed a high-severity vulnerability that can be exploited to achieve remote code execution on vulnerable servers.
MongoBleed explained simply
Exploited MongoBleed flaw leaks MongoDB secrets, 87K servers exposed
MongoDB warns admins to patch severe vulnerability immediately
CCN-CERT AL 12/25 Vulnerabilidad crítica en MongoDB
Known Exploited Vulnerabilities Catalog
Etiquetas