A MongoDB alertou administradores de TI sobre a necessidade urgente de aplicar um patch que corrige uma vulnerabilidade de alta gravidade, explorada em ataques de execução remota de código (RCE) contra servidores afetados.
Identificada como
CVE-2025-14847
, essa falha afeta várias versões do MongoDB e do MongoDB Server.
Ela pode ser explorada por atacantes não autenticados em ataques de baixa complexidade, que não exigem interação do usuário.
O problema está relacionado à manipulação incorreta de inconsistências no parâmetro de tamanho (length), permitindo a execução de código arbitrário e o controle completo dos dispositivos comprometidos.
Para corrigir a vulnerabilidade e impedir possíveis ataques, a recomendação é atualizar imediatamente para uma das versões: MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30.
As versões afetadas são:
- MongoDB 8.2.0 a 8.2.3
- MongoDB 8.0.0 a 8.0.16
- MongoDB 7.0.0 a 7.0.26
- MongoDB 6.0.0 a 6.0.26
- MongoDB 5.0.0 a 5.0.31
- MongoDB 4.4.0 a 4.4.29
- Todas as versões do MongoDB Server 4.2
- Todas as versões do MongoDB Server 4.0
- Todas as versões do MongoDB Server 3.6
Segundo o time de segurança da MongoDB, “um exploit do lado cliente da implementação zlib do servidor pode retornar memória heap não inicializada sem a necessidade de autenticação”.
Por isso, reforçam a importância de atualizar para as versões corrigidas o quanto antes.
Caso a atualização imediata não seja possível, recomenda-se desativar a compressão zlib no servidor MongoDB, iniciando o processo mongod ou mongos com a configuração networkMessageCompressors ou a opção net.compression.compressors, omitindo explicitamente o zlib.
Vale destacar que, há quatro anos, a U.S.
Cybersecurity and Infrastructure Security Agency (CISA) incluiu outra falha de RCE no MongoDB (
CVE-2019-10758
) em seu catálogo de vulnerabilidades exploradas ativamente.
Na época, instituições federais americanas foram obrigadas a corrigir seus sistemas conforme determina a Binding Operational Directive (BOD) 22-01.
Popular como sistema de gerenciamento de banco de dados não relacional (NoSQL), o MongoDB armazena informações em documentos BSON (Binary JSON), em vez das tradicionais tabelas usadas por bancos relacionais, como PostgreSQL e MySQL.
A plataforma é adotada por mais de 62.500 clientes ao redor do mundo, incluindo diversas empresas da lista Fortune 500.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...