Principais conclusões
- Aikido rastreou essa vulnerabilidade do MongoDB antes que ela fosse indexada no NVD, com base em correções do fornecedor upstream e Threat Intelligence interna Threat Intelligence .
- A vulnerabilidade (CVE-2025-14847), conhecida como MongoBleed, permite que invasores não autenticados, em nível de rede, extraiam fragmentos da memória não inicializada do servidor.
- Não são necessárias credenciais se o servidor MongoDB estiver acessível pela rede e a compressão zlib estiver ativada.
- Aikido já conseguiam detectar a vulnerabilidade através container , varredura de máquinas virtuais e verificação do Kubernetes, enquanto os novos CSPM para reforçar a prevenção de serviços MongoDB expostos.
Como verificar se está afetado
Opção 1: Utilizar Aikido
Você é afetado se Aikido :
- Uma versão vulnerável do MongoDB em execução em contentores, máquinas virtuais ou Kubernetes
- Serviços MongoDB expostos à rede
- Controlos de acesso mal configurados ao nível da nuvem ou do cluster
Essas verificações estão disponíveis na versão gratuita do Aikido .
Opção 2: Validação manual
É provável que seja afetado se:
- A sua versão do MongoDB está listada na tabela de versões afetadas abaixo
- A sua porta MongoDB está acessível através da rede
- A compressão zlib está ativada (padrão em muitas implementações)
Etapas de remediação
Remediação imediata (recomendado)
Atualize o MongoDB para uma versão corrigida:
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30
Mitigação temporária (se a atualização não for possível imediatamente)
- Desative a compressão zlib e mude para snappy, zstd ou nenhuma compressão
- Restrinja o acesso à rede ao MongoDB usando firewalls, grupos de segurança ou políticas de rede do Kubernetes.
- Remova qualquer exposição pública desnecessária
Quem é afetado
Esta vulnerabilidade afeta organizações que executam servidores MongoDB autogeridos nas versões afetadas, nas quais:
- O serviço MongoDB está acessível através da rede
- A compressão zlib está ativada
Isso inclui o MongoDB implementado em:
- Máquinas virtuais
- Container
- Clusters Kubernetes
- Cloud com configuração de rede incorreta
O que é Mongobleed?
A MongoDB divulgou uma vulnerabilidade na sua camada de transporte de rede que pode resultar no envio de memória não inicializada do servidor para os clientes. Como o problema ocorre durante a descompressão da mensagem, ele é acionado antes da autenticação, permitindo que invasores não autenticados o explorem remotamente.
A vulnerabilidade é rastreada como CVE-2025-14847.
Em que consiste o ataque?
O ataque tem como alvo o tratamento dado pelo MongoDB às mensagens de rede comprimidas. Ao enviar cargas úteis comprimidas especialmente criadas, um invasor pode fazer com que o MongoDB calcule incorretamente o comprimento dos dados descomprimidos e inclua conteúdos de memória não intencionais na sua resposta.
Intenção do atacante
A vulnerabilidade permite a divulgação de informações, que podem ser usadas para reconhecimento, coleta de dados ou encadeamento com outros ataques.
Impacto inicial
- Autenticação necessária: Não
- Interação do utilizador necessária: Nenhuma
- Superfície de ataque: Instâncias MongoDB expostas à rede
- Complexidade da exploração: Baixa
Impacto mais amplo
Mesmo a divulgação parcial da memória pode revelar dados confidenciais da aplicação, expor o estado interno do servidor e ajudar os invasores a se movimentarem lateralmente.
Análise técnica aprofundada
Onde a vulnerabilidade residia
O problema reside na camada de compressão de transporte de rede do MongoDB, especificamente na lógica de descompressão zlib.
O que poderia fazer
O manuseamento incorreto dos comprimentos das mensagens descomprimidas fez com que o MongoDB devolvesse memória heap não inicializada além da carga útil pretendida, resultando na divulgação da memória.
Prova de conceito (nível elevado)
Os próprios testes de regressão e patches da MongoDB demonstram que quadros comprimidos malformados podem desencadear o problema de forma confiável, confirmando a explorabilidade sob entrada controlada pelo invasor.
Por que essas vulnerabilidades ocorrem
Essa classe de vulnerabilidade geralmente surge do gerenciamento complexo de memória em códigos de rede de alto desempenho, validação insuficiente de entradas controladas por invasores e incompatibilidades entre os tamanhos dos buffers alocados e o comprimento real dos dados.
Âmbito do ataque
As cargas de trabalho estão em risco se:
- Executar versões vulneráveis do MongoDB
- Permitir acesso de rede de entrada ao MongoDB
- Utilizar as definições de compressão predefinidas
- Falta de segmentação da rede ou visibilidade do tempo de execução
Como a Aikido ajuda
Aikido as equipas Aikido reduzir a exposição a vulnerabilidades como a CVE-2025-14847, concentrando-se em sinais precoces e riscos reais em tempo de execução, e não apenas em listas de CVE.
- O Early Awareness
Aikido correções e avisos de fornecedores upstream no Aikido , para que as equipas possam ver problemas críticos antes que eles apareçam no NVD ou na maioria dos scanners. - Onde está realmente a ser executado
Aikido se existem versões vulneráveis do MongoDB em contentores, VMs ou Kubernetes e se estão expostas à rede. - Menos falhas de risco
As verificações de postura integradas ajudam a detectar configurações inseguras, como bases de dados expostas, que transformam bugs em incidentes.
Isso permite que os programadores identifiquem e corrijam rapidamente a exposição real, sem esperar por feeds CVE atrasados. Saiba mais sobre Aikido aqui.
Conclusão
CVE-2025-14847 é uma vulnerabilidade crítica do MongoDB que permite que invasores não autenticados vazem a memória do servidor por meio da compressão zlib.
Apêndice: Versões afetadas do MongoDB
MongoDB 8.2
- Vulnerável: 8.2.0 – 8.2.2
- Corrigido: 8.2.3
MongoDB 8.0
- Vulnerável: 8.0.0 – 8.0.16
- Corrigido: 8.0.17
MongoDB 7.0
- Vulnerável: 7.0.0 – 7.0.27
- Corrigido: 7.0.28
MongoDB 6.0
- Vulnerável: 6.0.0 – 6.0.26
- Corrigido: 6.0.27
MongoDB 5.0
- Vulnerável: 5.0.0 – 5.0.31
- Corrigido: 5.0.32
MongoDB 4.4
- Vulnerável: 4.4.0 – 4.4.29
- Corrigido: 4.4.30
MongoDB 4.2
- Vulnerável: Todas as versões
- Corrigido: Não há correção disponível
MongoDB 4.0
- Vulnerável: Todas as versões
- Corrigido: Não há correção disponível
MongoDB 3.6
- Vulnerável: Todas as versões
- Corrigido: Não há correção disponível
Referências
Proteja seu software agora
.avif)
