Vulnerabilidades críticas en MongoDB 2026
Vulnerabilidad crítica - 01/2026
Introducción
CVE-2025-14847 es una vulnerabilidad crítica de filtración de memoria en el servidor de bases de datos MongoDB que puede permitir a un atacante leer partes de la memoria del servidor sin autenticación alguna. Esto se produce debido a la forma en que MongoDB maneja ciertos mensajes comprimidos con zlib en su protocolo de red.
Análisis
CVE-2025-14847 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7,5
CVE-2025-14847 permite a un atacante remoto y sin autenticación provocar que un servidor MongoDB devuelva partes de su memoria interna no inicializada en respuestas a peticiones malformadas usando la compresión zlib en el protocolo de red. Estos datos pueden contener información sensible como credenciales u otros datos internos, incluso sin iniciar sesión.
Versiones afectadas
- MongoDB 8.2.0 a 8.2.3
- MongoDB 8.0.0 a 8.0.16
- MongoDB 7.0.0 a 7.0.26
- MongoDB 6.0.0 a 6.0.26
- MongoDB 5.0.0 a 5.0.31
- MongoDB 4.4.0 a 4.4.29
- Todas las versiones de MongoDB Server v4.2
- Todas las versiones de MongoDB Server v4.0
- Todas las versiones de MongoDB Server v3.6
Recomendaciones
- Actualizar MongoDB a una versión parcheada
- Deshabilitar la compresión zlib en la configuración de red
- Restringir el acceso a MongoDB usando firewalls o controles de red
- Asegurarte de que no esté expuesto directamente a Internet
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://securityaffairs.com/186107/security/high-severity-mongodb-flaw-cve-2025-14847-could-lead-to-server-takeover.html
- https://www.cybersecurityup.com/es/component/content/article/2-news-cyber-security/2249-mongodb-cve-2025-14847-attaccanti-non-autenticati-possono-leggere-memoria-heap,-patch-urgente-o-disabilita-zlib?Itemid=101
- https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html