Se ha descubierto una vulnerabilidad de severidad alta en el servidor de base de datos MongoDB. Un actor malicioso no autenticado podría acceder a información confidencial almacenada en la memoria del sistema.
Productos afectados
- MongoDB 8.2: versiones anteriores a 8.2.3
- MongoDB 8.0: versiones anteriores a 8.0.17
- MongoDB 7.0: versiones anteriores a 7.0.28
- MongoDB 6.0: versiones anteriores a 6.0.27
- MongoDB 5.0: versiones anteriores a 5.0.32
- MongoDB 4.4: versiones anteriores a 4.4.30
- MongoDB Server: versiones 4.2, 4.0 y 3.6 (todas las versiones)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-14847: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de manejo incorrecto de parámetros de longitud en las cabeceras del protocolo comprimido con zlib. Un actor malicioso remoto no autenticado podría acceder a información sensible como credenciales o datos de consultas previas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-14847
- https://jira.mongodb.org/browse/SERVER-115508