Se ha identificado una vulnerabilidad crítica en MongoDB, una de las bases de datos NoSQL más utilizadas en el mundo. La falla afecta tanto a la biblioteca libbson como al servidor MongoDB, lo que podría permitir a un atacante provocar un desbordamiento de búfer, comprometiendo la confidencialidad, integridad y disponibilidad del sistema afectado.
- CVE-2025-0755 (CVSS: 8.4): La vulnerabilidad reside en las funciones bson_append de la biblioteca libbson, utilizada en el controlador C de MongoDB. Estas funciones son susceptibles a un desbordamiento de búfer cuando se procesan documentos BSON que superan el tamaño máximo permitido (INT32_MAX). Esto puede generar una falla de segmentación, lo que podría ocasionar el bloqueo de la aplicación o un posible compromiso del sistema.
Productos afectados:
- Libbson versiones anteriores a la 1.27.5.
- MongoDB Server v8.0 versiones anteriores a la 8.0.1.
- MongoDB Server v7.0 versiones anteriores a la 7.0.16.
Solución:
- Actualizar libbson a la versión 1.27.5 o superior.
- Actualizar MongoDB Server a la versión 8.0.1 o superior.
- Actualizar MongoDB Server a la versión 7.0.16 o superior.
Recomendaciones:
- Revisar y actualizar las dependencias de las aplicaciones que utilizan libbson.
- Restringir la entrada de datos no confiables en aplicaciones que interactúan con MongoDB para evitar la manipulación maliciosa de documentos BSON.
- Monitorear los sistemas para detectar comportamientos anómalos que puedan indicar intentos de explotación.
- Implementar controles de seguridad adicionales para mitigar posibles explotaciones.
Referencias: