Vulnerabilidade no MongoDB expõe informação confidencial de mais de 87 mil servidores

Foi identificada, e está a ser explorada ativamente, a vulnerabilidade MongoBleed (CVE-2025-14847), que afeta múltiplas versões do MongoDB, expondo mais de 87 mil servidores MongoDB potencialmente vulneráveis ao longo da Internet pública.

O MongoBleed surge de uma falha na forma como o servidor MongoDB processa pacotes de rede através da biblioteca zlib utilizada para compressão lossless de dados. O problema consiste no retorno incorreto do MongoDB da quantidade de memória alocada durante o processamento de mensagens de rede, em vez do comprimento dos dados descomprimidos, o que pode levar ao vazamento de dados sensíveis na memória para o atacante.

Investigadores da Ox Security explicam que um atacante pode enviar uma mensagem malformada que declara um tamanho maior quando descomprimida, forçando o servidor a alocar um buffer de memória maior e revelando ao cliente dados internos contendo segredos como credenciais, chaves de API ou cloud, tokens de sessão, informações pessoais identificáveis (PII), logs internos, configurações, caminhos e dados relacionados aos clientes.

Como a descompressão ocorre antes da fase de autenticação, um atacante não necessita de credenciais válidas para explorar esta vulnerabilidade.

Um exploit público, denominado MongoBleed e criado pelo investigador da Elastic Joe Desimone, serve como prova de conceito para a extração remota destes dados sensíveis. O investigador Kevin Beaumont confirma a validade do código exploit, que requer apenas o endereço IP de uma instância MongoDB para extrair informações como passwords de bases de dados (em texto simples) ou chaves secretas AWS.

Segundo a plataforma Censys, a 27 de dezembro estavam identificadas mais de 87 mil instâncias MongoDB suscetíveis na Internet. Quase 20 mil destes servidores encontravam-se nos Estados Unidos, seguidos pela China com cerca de 17 mil e a Alemanha com quase oito mil.

A monitorização da plataforma de segurança cloud Wiz revelou que 42% dos sistemas visíveis tinham pelo menos uma instância MongoDB numa versão vulnerável ao CVE-2025-14847, abrangendo recursos internos e expostos publicamente. A Wiz confirma ter observado exploração ativa da vulnerabilidade e recomenda a priorização da aplicação da correção.

Citado pela Bleeping Computer, Eric Capuano, cofundador da Recon InfoSec, alerta que para além de aplicar o patch, as organizações devem procurar por indícios de compromisso. Numa publicação recente, o investigador sugere que a deteção pode ser feita identificando IP fonte com centenas ou milhares de conexões, mas sem eventos de metadados, embora advirta que o exploit pode ser modificado para evitar esta forma de deteção.

O investigador Florian Roth desenvolveu a ferramenta MongoBleed Detector para analisar logs do MongoDB e identificar potenciais explorações da vulnerabilidade CVE-2025-14847, utilizando as descobertas de Capuano.

A MongoDB lançou um patch para a vulnerabilidade a 19 de dezembro, recomendando a atualização para as versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30. As versões afetadas incluem desde builds de 2017 até novembro de 2025: MongoDB 8.2.0 até 8.2.3, 8.0.0 até 8.0.16, 7.0.0 até 7.0.26, 6.0.0 até 6.0.26, 5.0.0 até 5.0.31, 4.4.0 até 4.4.29, bem como todas as versões 4.2, 4.0 e 3.6.

Os utilizadores do serviço MongoDB Atlas, solução totalmente gerida e multicloud, receberam a atualização automaticamente, não sendo necessária qualquer ação adicional.

Não existe solução alternativa eficaz para a vulnerabilidade. Caso não seja possível atualizar, o fornecedor aconselha desativar a compressão zlib no servidor, fornecendo instruções técnicas para tal.