Uma falha crítica foi identificada no MongoDB, permitindo que atacantes não autenticados acessem dados de memória não inicializada. Registrada como CVE-2025-14847, a vulnerabilidade possui um escore CVSS de 8.7 e resulta de um tratamento inadequado de inconsistências no parâmetro de comprimento. Esse problema ocorre quando os campos de comprimento nos cabeçalhos do protocolo Zlib não coincidem com o tamanho real dos dados, possibilitando a leitura de memória não inicializada por clientes não autenticados.
As versões impactadas incluem MongoDB 8.2.0 a 8.2.3, 8.0.0 a 8.0.16, 7.0.0 a 7.0.26, 6.0.0 a 6.0.26, 5.0.0 a 5.0.31, além de todas as versões dos servidores MongoDB v4.2, v4.0 e v3.6. A correção foi implementada nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30.
A MongoDB recomenda fortemente a atualização para as versões corrigidas. Caso a atualização imediata não seja viável, sugere-se desativar a compressão Zlib no servidor MongoDB, utilizando as opções de configuração que excluem explicitamente o Zlib, como snappy e zstd.
A falha CVE-2025-14847 permite que um atacante remoto e não autenticado provoque uma situação em que o servidor MongoDB pode retornar memória não inicializada de seu heap. Isso pode expor dados sensíveis, como informações internas e ponteiros, que podem ser usados para exploração adicional.
Fonte:https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html
Slug: vulnerabilidade-mongodb-expoe-dados-sensiveis
