Una vulnerabilidad de alta severidad en MongoDB Server permite a atacantes remotos no autenticados extraer datos sensibles de la memoria de la base de datos. Denominada "MongoBleed" debido a sus similitudes automatizadas con el infame fallo Heartbleed, la vulnerabilidad se registra como CVE-2025-14847 y tiene una puntuación CVSS de 7.5. 

Existe una vulnerabilidad de alta gravedad en MongoDB Server que permite a atacantes remotos no autenticados extraer datos confidenciales de la memoria de la base de datos.

Denominada “MongoBleed” debido a sus similitudes automatizadas con el infame error Heartbleed, la falla se rastrea como CVE-2025-14847 y tiene una puntuación CVSS de 7.5.

La vulnerabilidad reside en la implementación de descompresión de mensajes zlib del MongoDB Server. Según la divulgación publicada el 19 de diciembre de 2025, la falla es un problema de divulgación de memoria no inicializada.

Cuando una instancia de MongoDB intenta descomprimir un paquete especialmente diseñado, un error lógico permite al solicitante leer porciones de la memoria heap no inicializada.

El peligro de MongoBleed radica en los datos almacenados en la memoria expuesta. Debido a que el heap es dinámico, a menudo contiene residuos de operaciones de base de datos anteriores.

La explotación exitosa permite a un atacante “sangrar” esta memoria, extrayendo potencialmente artefactos confidenciales como credenciales de texto plano, tokens de sesión, claves de autenticación o PII del cliente que fueron procesados recientemente por el servidor.

Es crucial que esta explotación no requiera que el atacante esté autenticado. Cualquier usuario remoto con acceso a la red al puerto de la base de datos puede activar la vulnerabilidad.

El riesgo se agrava por el hecho de que la compresión zlib está habilitada por defecto en las configuraciones estándar de MongoDB, lo que garantiza una amplia superficie de ataque inmediatamente después de la divulgación.

Según la plataforma de observabilidad de Internet Censys, el panorama de exposición es significativo. A finales de diciembre, las consultas de Censys identificaron más de 87,000 instancias de MongoDB potencialmente vulnerables expuestas a Internet público.

La vulnerabilidad afecta a una amplia gama de versiones, desde implementaciones heredadas hasta las últimas versiones. Las versiones afectadas incluyen:

• MongoDB 8.2: 8.2.0 – 8.2.2
• MongoDB 8.0: 8.0.0 – 8.0.16
• MongoDB 7.0: 7.0.0 – 7.0.27
• MongoDB 6.0: 6.0.0 – 6.0.26
• MongoDB 5.0: 5.0.0 – 5.0.31
• MongoDB 4.4: 4.4.0 – 4.4.29
• Legacy: Todas las versiones de 4.2, 4.0 y 3.6.

Si bien no hay evidencia confirmada de explotación activa en el mundo real a la fecha de redacción, el plazo para aplicar parches se está cerrando rápidamente. Un exploit de Prueba de Concepto (PoC) ya ha sido publicado por un investigador, Joe Desimone, en GitHub.

La disponibilidad de código de exploit público aumenta drásticamente la probabilidad de que los actores de amenazas comiencen a escanear y extraer datos de servidores sin parches.

MongoDB ha lanzado parches para abordar CVE-2025-14847. Se insta a los administradores a actualizar inmediatamente a las siguientes versiones o superiores:

• 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30.

Para las organizaciones que no puedan aplicar parches de inmediato, existen estrategias de mitigación temporales. Los administradores pueden deshabilitar la compresión zlib modificando la configuración de networkMessageCompressors o net.compression.compressors para omitir explícitamente zlib.

Además, restringir el acceso a la red a direcciones IP de confianza es una práctica recomendada estándar para la seguridad de la base de datos que ayuda a evitar que los atacantes remotos lleguen a los servicios vulnerables.