Actualización 26/12/25: Artículo actualizado para corregir que la falla no ha sido clasificada oficialmente como RCE.
MongoDB ha advertido a los administradores de TI que parcheen inmediatamente una vulnerabilidad de lectura de memoria de alta gravedad que puede ser explotada de forma remota por atacantes no autenticados.
Seguimiento como CVE-2025-14847la falla de seguridad afecta a múltiples versiones de MongoDB y MongoDB Server y puede ser abusada por actores de amenazas no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.
«Un exploit del lado del cliente de la implementación zlib del servidor puede devolver memoria dinámica no inicializada sin autenticarse en el servidor. Recomendamos encarecidamente actualizar a una versión fija lo antes posible», dijo el equipo de seguridad de MongoDB. dijo en un aviso del viernes.
«Le sugerimos encarecidamente que actualice de inmediato. Si no puede actualizar de inmediato, desactive la compresión zlib en el servidor MongoDB iniciando mongod o mongos con networkMessageCompressors o una opción net.compression.compressors que omita explícitamente zlib».
CVE-2025-14847 se debe a un manejo inadecuado de la inconsistencia del parámetro de longitud, que según la información asociada Clasificación CWE-130podría permitir potencialmente a los atacantes ejecutar código arbitrario y potencialmente obtener el control de los dispositivos específicos en algunos casos.
Para corregir la falla de seguridad y bloquear posibles ataques, se recomienda a los administradores actualizar inmediatamente a MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30.
La vulnerabilidad afecta a las siguientes versiones de MongoDB:
- MongoDB 8.2.0 a 8.2.3
- MongoDB 8.0.0 a 8.0.16
- MongoDB 7.0.0 a 7.0.26
- MongoDB 6.0.0 a 6.0.26
- MongoDB 5.0.0 a 5.0.31
- MongoDB 4.4.0 a 4.4.29
- Todas las versiones de MongoDB Server v4.2
- Todas las versiones de MongoDB Server v4.0
- Todas las versiones de MongoDB Server v3.6
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una falla de MongoDB mongo-express RCE (CVE-2019-10758) a su catálogo de vulnerabilidades explotadas conocidas hace cuatro años, etiquetándolas como explotadas activamente y ordenando a las agencias federales que protejan sus sistemas, según lo dispuesto por Directiva operativa vinculante (DBO) 22-01.
MongoDB es un popular sistema de gestión de bases de datos no relacionales (DBMS) que, a diferencia de las bases de datos relacionales como PostgreSQL y MySQL, almacena datos en documentos BSON (Binary JSON) en lugar de tablas.
El software de base de datos es utilizado por más de 62.500 clientes en todo el mundo, incluidas docenas de empresas Fortune 500.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
