Se ha identificado una vulnerabilidad crítica, CVE-2025-14847, en la implementación de compresión zlib de MongoDB que permite a atacantes extraer memoria heap no inicializada sin necesidad de autenticación. Este fallo afecta múltiples versiones del servidor de base de datos y puede exponer datos sensibles almacenados en memoria, incrementando el riesgo de divulgación de información confidencial.
CVE y severidad
CVE: CVE-2025-14847
CVSS v4.0: 8.7
Severidad: Alta
Componente afectado: Implementación de compresión zlib en el servidor MongoDB
La vulnerabilidad permite explotación desde el lado cliente sin requerir autenticación, lo que facilita el acceso malicioso a datos confidenciales en memoria no inicializada.
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| MongoDB Inc. | MongoDB | 3.6 (todas), 4.0 (todas), 4.2 (todas), 4.4.0-4.4.29, 5.0.0-5.0.31, 6.0.0-6.0.26, 7.0.0-7.0.26, 8.0.0-8.0.16, 8.2.0-8.2.2 |
Solución
Actualizar a las versiones parcheadas 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30.
Recomendaciones
Se recomienda priorizar la actualización inmediata de las instalaciones de MongoDB para mitigar riesgos de exposición de datos sensibles; implemente un mantenimiento planificado para aplicar parches y valide la actualización posterior para evitar accesos no autorizados.
Workarounds
Para entornos donde la actualización inmediata no sea posible, deshabilitar la compresión zlib configurando mongod o mongos para omitir zlib en los parámetros networkMessageCompressors o net.compression.compressor, utilizando alternativas seguras como Snappy o Zstd, o desactivando la compresión.