FUGA DE MEMORIA EN MONGODB: FALLO CRÍTICO EN COMPRESIÓN ZLIB PERMITE LECTURA DE DATOS NO AUTENTICADA
Fecha: 12 de marzo de 2026
Nivel de Impacto: Crítico
Se ha revelado una vulnerabilidad crítica en MongoDB Server, bautizada como "MongoBleed", que está siendo explotada activamente en el entorno real. El fallo, identificado como CVE-2025-14847, permite a atacantes no autenticados extraer información confidencial directamente de la memoria dinámica (heap) del servidor.
Debido a su gravedad y facilidad de ejecución, la CISA ya ha incluido esta vulnerabilidad en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
¿Cómo funciona MongoBleed?
El problema radica en un fallo de confianza en la forma en que el servidor gestiona los mensajes de red comprimidos con zlib.
- Sin autenticación: El atacante no necesita credenciales; solo requiere acceso de red al puerto predeterminado de la base de datos.
- Fuga de memoria: Al enviar mensajes malformados, el servidor responde "sangrando" (de ahí el nombre Bleed) datos de su memoria.
- Información en riesgo: La memoria filtrada puede contener desde credenciales en texto plano y claves API, hasta tokens de sesión y datos personales (PII) de los usuarios.
Dato alarmante: Herramientas de escaneo como Cortex Xpanse han identificado aproximadamente 146,000 instancias de MongoDB expuestas directamente a Internet, lo que amplía drásticamente la superficie de ataque global.
Resumen Técnico y Gravedad
AtributoDetalleIdentificadorCVE-2025-14847Puntuación CVSS8.7 (Alta / Crítica)Tipo de FalloDivulgación de memoria (Information Disclosure)Vector de AtaqueRed (Remoto), No autenticadoEstado de ExplotaciónActiva (PoC público disponible)
Cómo proteger tu infraestructura
Si gestionas instancias de MongoDB, la prioridad debe ser el parcheo inmediato y la revisión de la exposición de red. Si utilizas soluciones de Palo Alto Networks, cuentas con capas adicionales de protección:
- NGFW (Next-Generation Firewalls): Implementa prevención avanzada de amenazas para bloquear el tráfico malicioso que intente explotar este vector.
- Cortex XDR / XSIAM: Ayudan a detectar movimientos laterales o actividades sospechosas posteriores a la filtración.
- Cortex Xpanse: Crucial para identificar si tus bases de datos están visibles desde el internet público y cerrar esos vectores de entrada.
- Unidad 42: En caso de sospechar una brecha, el equipo de respuesta a incidentes está disponible para evaluaciones proactivas.
Recomendación final: No asumas que tu base de datos es "invisible". Verifica las configuraciones de red, aplica los parches de seguridad de MongoDB y restringe el acceso al puerto de la base de datos únicamente a IPs confiables.
Referencias:
CVE-2025-14847 Record: cve.mitre.org (Enlace al registro oficial de la vulnerabilidad).
