Una vulnerabilidad de seguridad crítica, rastreada como CVE-2025-14847, podría permitir a los atacantes extraer memoria heap no inicializada de los servidores de bases de datos sin autenticación. El fallo reside en la implementación de la compresión zlib de MongoDB y afecta a múltiples versiones de la plataforma de bases de datos. La vulnerabilidad permite la explotación en el lado del cliente de la implementación zlib del Servidor MongoDB, exponiendo potencialmente datos confidenciales.
Existe una vulnerabilidad de seguridad crítica, rastreada como CVE-2025-14847, que podría permitir a los atacantes extraer memoria heap no inicializada de los servidores de bases de datos sin autenticación.
El fallo reside en la implementación de la compresión zlib de MongoDB y afecta a múltiples versiones de la plataforma de bases de datos.
La vulnerabilidad permite la explotación del lado del cliente de la implementación zlib del MongoDB Server, exponiendo potencialmente datos confidenciales almacenados en memoria heap no inicializada.
Lo que hace que este fallo sea particularmente peligroso es que los atacantes pueden explotarlo sin autenticarse en el servidor, reduciendo significativamente la barrera para actores maliciosos.
La vulnerabilidad afecta a una amplia gama de versiones de MongoDB, abarcando varias versiones principales:
| Producto | Versiones Afectadas |
|---|---|
| MongoDB | 8.2.0 hasta 8.2.2 |
| MongoDB | 8.0.0 hasta 8.0.16 |
| MongoDB | 7.0.0 hasta 7.0.26 |
| MongoDB | 6.0.0 hasta 6.0.26 |
| MongoDB | 5.0.0 hasta 5.0.31 |
| MongoDB | 4.4.0 hasta 4.4.29 |
| MongoDB | Todas las versiones de 4.2 |
| MongoDB | Todas las versiones de 4.0 |
| MongoDB | Todas las versiones de 3.6 |
MongoDB recomienda encarecidamente actualizar a las versiones parcheadas 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30.
Para las organizaciones que no pueden actualizar inmediatamente, MongoDB recomienda una solución temporal.
Deshabilitar la compresión zlib configurando mongod o mongos para omitir zlib en los ajustes de networkMessageCompressors o net. Compression/compressor. Utiliza alternativas seguras como Snappy o Zstd, o desactiva la compresión.
Exponer memoria heap no inicializada puede provocar la divulgación de información, revelando potencialmente el contenido confidencial de la base de datos, claves criptográficas u otros datos confidenciales que residan en la memoria del servidor.
Los equipos de seguridad deben priorizar la aplicación de parches a las instalaciones de MongoDB inmediatamente para evitar posibles filtraciones de datos.
Fuentes:
https://cybersecuritynews.com/critical-mongodb-vulnerability/
No hay comentarios:
Publicar un comentario