MongoDB ha alertado recientemente a los administradores de sistemas sobre la existencia de una vulnerabilidad de alta gravedad que podría ser explotada para llevar a cabo ataques de ejecución remota de código (RCE) contra servidores vulnerables. Según el fabricante, la explotación de este fallo permitiría a un atacante comprometer completamente la instancia afectada, por lo que se recomienda aplicar las actualizaciones de seguridad de forma inmediata.
La vulnerabilidad, identificada como CVE-2025-14847, se debe a un manejo inadecuado de la inconsistencia del parámetro de longitud en el servidor MongoDB. Este fallo puede ser explotado por atacantes remotos no autenticados, mediante ataques de baja complejidad y sin interacción del usuario, permitiendo la ejecución de código arbitrario y la posible toma de control del sistema.
Según el aviso de seguridad de MongoDB, el problema está relacionado con la implementación de la compresión zlib, pudiendo provocar la exposición de memoria de montón no inicializada durante el procesamiento de determinadas peticiones. Una explotación exitosa podría afectar gravemente a la confidencialidad, integridad y disponibilidad de los datos almacenados en la base de datos.
Las versiones afectadas incluyen múltiples ramas de MongoDB, desde versiones recientes hasta ramas antiguas aún desplegadas en numerosos entornos, lo que incrementa el riesgo en sistemas no actualizados.
Desde CSIRT-CV se recuerda la importancia de mantener los sistemas actualizados, especialmente en servicios críticos como las bases de datos. MongoDB recomienda actualizar de forma inmediata a una versión corregida. En aquellos casos en los que no sea posible aplicar el parche de manera inmediata, se aconseja deshabilitar temporalmente la compresión zlib y reforzar los controles de red, limitando la exposición de los servidores MongoDB mediante firewalls y segmentación de red. Asimismo, se recomienda monitorizar posibles indicadores de compromiso tras la aplicación de las medidas correctoras.
Para más información técnica y detalles oficiales sobre esta vulnerabilidad, pueden consultarse las siguientes referencias.
Referencias:
https://jira.mongodb.org/browse/SERVER-115508
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/