Imagen con logo de MongoDB y nombre de vulnerabilidad MongoBleed descubierta

Inicio / Vulnerabilidad en MongoDB permite obtención de datos privados sin autenticación (CVE-2025-14847)

Vulnerabilidad en MongoDB permite obtención de datos privados sin autenticación (CVE-2025-14847)

Una falla de seguridad recientemente descubierta en MongoDB está siendo activamente explotada, afectando a más de 87,000 instancias potencialmente vulnerables en todo el mundo. La vulnerabilidad, identificada como CVE-2025-14847 con un puntaje 8.7 en la clasificación CVSS, permite a atacantes no autenticados extraer información sensible directamente de la memoria del servidor MongoDB de forma remota.

El aprovechamiento de esta vulnerabilidad permite robar contraseñas, claves API e información de usuarios sin necesidad de credenciales o interacción del usuario, simplemente enviando paquetes de datos manipulados a servidores MongoDB distribuidos en internet.

El origen del problema

La vulnerabilidad, denominada MongoBleed, reside en la implementación de descompresión de mensajes zlib del servidor MongoDB (específicamente en «message_compressor_zlib.cpp»). Según OX Security, «una falla en la compresión zlib permite a los atacantes desencadenar filtración de información. Al enviar paquetes de red malformados, un atacante puede extraer fragmentos de datos privados.»

El error fundamental ocurre en la lógica de descompresión de mensajes de red basada en zlib. Como explican los investigadores de seguridad Merav Bar y Amitai Cohen de Wiz: «La lógica afectada retornaba el tamaño del buffer asignado (output.length()) en lugar de la longitud real de los datos descomprimidos, permitiendo que payloads de tamaño insuficiente o malformados expusieran memoria heap adyacente no inicializada.»

Esta falla permite acceder a la memoria heap no inicializada, sin credenciales válidas. La memoria heap es donde las aplicaciones almacenan datos dinámicos durante su ejecución, pudiendo incluir información privada como contraseñas y tokens de sesión.

Alcance de la exposición

Datos de Censys (empresa especializada en gestión de superficies de ataque) revelan que existen más de 87,000 instancias potencialmente vulnerables distribuidas globalmente, con concentración mayoritaria en Estados Unidos, China, Alemania, India y Francia.

Wiz reporta que el 42 % de los entornos cloud tienen al menos una instancia de MongoDB en una versión vulnerable a CVE-2025-14847, incluyendo tanto recursos expuestos a internet como internos.

La compresión zlib está habilitada por defecto en MongoDB, lo que significa que la mayoría de instalaciones están en riesgo a menos que hayan sido configuradas explícitamente de otra manera.

Características destacables de esta vulnerabilidad

CVE-2025-14847 es alcanzable antes de la autenticación y no requiere interacción del usuario, lo que la convierte en un vector de ataque particularmente peligroso para servidores MongoDB expuestos a internet.

Como señala OX Security: «Aunque el atacante podría necesitar enviar una gran cantidad de solicitudes para recopilar la base de datos completa, y algunos datos podrían carecer de sentido, cuanto más tiempo tenga un atacante, más información podría reunir.»

Contexto regulatorio

La CISA (Cybersecurity and Infrastructure Security Agency) añadió la CVE-2025-14847 a su catálogo de vulnerabilidades explotadas el 29 de diciembre de 2025, estableciendo como fecha límite el 19 de enero de 2026 para que las agencias federales del Poder Ejecutivo Civil (FCEB) apliquen las correcciones.

La CISA describe la vulnerabilidad como: «MongoDB Server contiene una vulnerabilidad de manejo inadecuado de inconsistencia de parámetros de longitud en encabezados de protocolo comprimidos con zlib. Esta vulnerabilidad puede permitir la lectura de memoria heap no inicializada por un cliente no autenticado.»

Es importante notar que esta vulnerabilidad no se limita únicamente a MongoDB. El paquete rsync de Ubuntu también se ve afectado debido a su uso de zlib, ampliando potencialmente la superficie de ataque.

Estado de explotación activa

Aunque los detalles exactos sobre la naturaleza de los ataques que explotan esta falla son actualmente desconocidos, la confirmación de explotación activa en subraya la urgencia de implementar las medidas de mitigación.

Dada la facilidad de explotación, el amplio alcance de instancias vulnerables y la confirmación de ataques activos, la actualización inmediata de todas las instancias MongoDB debe considerarse una prioridad crítica de seguridad.

Medidas de mitigación

  1. Actualizar a versiones corregidas (solución permanente):
    • MongoDB 8.2.3
    • MongoDB 8.0.17
    • MongoDB 7.0.28
    • MongoDB 6.0.27
    • MongoDB 5.0.32
    • MongoDB 4.4.30
  2. Deshabilitar compresión zlib («workaround» temporal):
    • Iniciar mongod o mongos con la opción networkMessageCompressors o net.compression.compressors excluyendo explícitamente zlib
  3. Restringir exposición de red:
    • Limitar el acceso a servidores MongoDB únicamente a direcciones IP confiables
  4. Supervisión activa:
    • Revisar logs de MongoDB en busca de conexiones anómalas previas a la autenticación
    • Implementar sistemas de detección de intrusiones (IDS)

¿Te pareció útil este artículo?

Si te pareció util este artículo, ¡te invitamos a compartirlo con personas que podrían verse beneficiadas al leerlo!

Artículos destacados

Últimos artículos