top of page

Falha crítica no MongoDB permite leitura de memória sem autenticação


Uma falha de segurança de alta gravidade foi divulgada recentemente no MongoDB, banco de dados amplamente utilizado em aplicações corporativas e ambientes em nuvem. A vulnerabilidade, identificada como CVE-2025-14847 e classificada com pontuação CVSS de 8,7, pode permitir que hackers não autenticados leiam áreas de memória não inicializadas do servidor.


O problema está relacionado ao tratamento incorreto de inconsistências no campo de comprimento (length) em cabeçalhos de protocolo que utilizam compressão Zlib. Em cenários específicos, essa falha faz com que o servidor processe dados cujo tamanho declarado não corresponde ao conteúdo real, abrindo espaço para que um invasor remoto obtenha informações armazenadas temporariamente na memória (heap).


De acordo com a descrição oficial do CVE, campos de tamanho incompatíveis em cabeçalhos comprimidos com Zlib podem permitir a leitura de memória heap não inicializada por um cliente não autenticado. Na prática, isso significa que um hacker pode explorar a falha sem sequer possuir credenciais válidas para acessar o banco de dados.


A vulnerabilidade impacta uma ampla gama de versões do MongoDB Server, incluindo:

  • MongoDB 8.2.0 a 8.2.3

  • MongoDB 8.0.0 a 8.0.16

  • MongoDB 7.0.0 a 7.0.26

  • MongoDB 6.0.0 a 6.0.26

  • MongoDB 5.0.0 a 5.0.31

  • MongoDB 4.4.0 a 4.4.29

  • Todas as versões do MongoDB Server 4.2, 4.0 e 3.6


O problema já foi corrigido nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30.


Segundo a própria MongoDB, um exploit do lado do cliente explorando a implementação Zlib pode retornar memória não inicializada do servidor sem necessidade de autenticação. Essa memória pode conter informações sensíveis em tempo de execução, como estados internos do sistema, ponteiros e outros dados que podem facilitar ataques mais sofisticados.


A empresa de segurança OP Innovate reforça que a falha pode resultar na exposição de dados críticos em memória, ampliando significativamente a superfície de ataque e auxiliando hackers em movimentos laterais ou na exploração de outras vulnerabilidades.


A recomendação principal é atualizar imediatamente para uma versão corrigida do MongoDB.


Caso a atualização não seja possível no curto prazo, a orientação é desabilitar o uso de compressão Zlib, iniciando o mongod ou mongos com as opções:


excluindo explicitamente o zlib. O MongoDB continua oferecendo suporte a outros algoritmos de compressão, como snappy e zstd, que não são afetados por essa falha.


Via - THN


 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page