SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

28 dic 2025

Segu-Info » , » MongoBleed: vulnerabilidad permite filtrar datos de forma remota en MongoDB (hay exploit, PARCHEA!)

MongoBleed: vulnerabilidad permite filtrar datos de forma remota en MongoDB (hay exploit, PARCHEA!)

28 dic 2025, 10:25:00 a.m.   Comenta primero!
  ,  

Una vulnerabilidad importante permite a atacantes no autenticados filtrar de forma remota datos confidenciales de la memoria del servidor MongoDB. Una falla en la compresión zlib permite a los atacantes provocar una fuga de información. Al enviar paquetes de red con formato incorrecto, un atacante puede extraer fragmentos de datos privados.

La vulnerabilidad, identificada CVE-2025-14847 (CVSS 8.7), afecta a todas las versiones de MongoDB desde hace aproximadamente una década (desde 3.-x a 8.x) y ya hay actualizaciones disponibles.

Major Version Affected Versions Fixed Versions
8.2 8.2.0 to 8.2.2 8.2.3
8.0 8.0.0 to 8.0.16 8.0.17
7.0 7.0.0 to 7.0.27 7.0.28
6.0 6.0.0 to 6.0.26 6.0.27
5.0 5.0.0 to 5.0.31 5.0.32
4.4 4.4.0 to 4.4.29 4.4.30
4.2 4.2.0 and later N/A
4.0 4.0.0 and later N/A
3.6 3.6.0 and later N/A

Además, alguien de Elastic Security decidió publicar un exploit para CVE-2025–14847 el día de Navidad y la empresa OX decidió que sería una gran idea publicar detalles técnicos en Nochebuena. En este momento, solo en Argentina hay casi 200 servidores MongoDB expuestos a Internet y seguramente vulnerables.

La vulnerabilidad afecta a cualquier servidor con un puerto MongoDB expuesto públicamente, y también afecta a servidores privados a los que los atacantes podrían llegar mediante movimiento lateral.

Los atacantes pueden aprovechar esto para extraer información confidencial de los servidores MongoDB, incluida información de usuario, contraseñas, claves API y más. Aunque es posible que el atacante necesite enviar una gran cantidad de solicitudes para recopilar la base de datos completa, y algunos datos pueden no tener sentido, cuanto más tiempo tenga un atacante, más información podrá recopilar.

La causa principal se encuentra en message_compressor_zlib.cpp, donde el código vulnerable devolvía el tamaño de búfer asignado en lugar de la longitud real de los datos descomprimidos. Esta falla, sutil pero crítica, permite que cargas útiles de tamaño insuficiente o malformadas expongan la memoria del montón adyacente que contiene información confidencial, una vulnerabilidad de desbordamiento de búfer similar a Heartbleed.

Acciones recomendadas

  • Si tiene un servidor MongoDB expuesto públicamente dentro de los paquetes afectados, actualice inmediatamente a la versión reparada.
  • Cierre el puerto por defecto 27017 de MongoDB.
  • Cierre los puertos que no estén en uso y que puedan ser utilizados por atacantes para enviar solicitudes de red directas al servidor MongoDB.
  • Si es posible, deshabilite la compresión zlib en sus servidores; aunque podría afectar el rendimiento, podría ayudar a mitigar este tipo de ataques.
  • Si está utilizando MongoDB, actualice a la última versión de corrección o desactive la descompresión de zlib.

Debido a lo sencillo que es de explotar, se espera una alta probabilidad de explotación masiva e incidentes de seguridad relacionados. El autor del exploit no ha proporcionado detalles sobre cómo detectar el exploit en los registros a través de productos como... Elastic.

También se lanzó la herramienta MongoBleed Detector para identificar la posible explotación de CVE-2025-14847. La lógica de detección de esta herramienta se basa en la excelente investigación de Eric Capuano, quien analizó los artefactos de explotación de MongoBleed e identificó la firma de comportamiento clave: conexiones rápidas sin metadatos del cliente.

Fuente: DoublePulsar



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!