Vulnerabilidades

Resumen de amenazas: Vulnerabilidad de MongoDB (CVE-2025-14847)

7 lectura mínima

Resumen ejecutivo

El 19 de diciembre de 2025, MongoDB reveló públicamente MongoBleed, una vulnerabilidad de seguridad (CVE-2025-14847) que permite a atacantes no autenticados filtrar memoria heap confidencial explotando un problema de confianza en cómo MongoDB Server maneja los mensajes de red comprimidos con zlib. Esta falla ocurre antes de la autenticación, lo que significa que un atacante solo necesita acceso de red al puerto predeterminado de la base de datos para activarla.

Los detalles clave de la amenaza se resumen a continuación:

Vulnerabilidad: CVE-2025-14847 es una vulnerabilidad crítica de divulgación de memoria no autenticada en el manejo de mensajes comprimidos con zlib de MongoDB Server (CVSS 8.7).
Impacto: Esta memoria puede contener datos confidenciales como credenciales en texto plano, claves API, tokens de sesión e información de identificación personal (PII).
Estado: Explotación activa confirmada en el entorno real ("in the wild"). Existe un exploit de prueba de concepto (PoC) público disponible. La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) agregó esta vulnerabilidad al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 29 de diciembre de 2025, basándose en evidencia de explotación activa.

Cortex Xpanse identificó aproximadamente 146,000 instancias de MongoDB expuestas a internet.

Los clientes de Palo Alto Networks están mejor protegidos contra la actividad relacionada con la CVE-2025-14847 a través de los siguientes productos y servicios:

Cortex XDR y XSIAM pueden ayudar a proteger contra actividades posteriores a la explotación utilizando el enfoque de protección multicapa.
Cortex Cloud puede ayudar a detectar recursos alojados en la nube vulnerables a la CVE-2025-14847.
Cortex Xpanse puede ayudar a identificar dispositivos MongoDB expuestos en la internet pública y escalar estos hallazgos a los defensores.

También se puede contactar al equipo de Respuesta a Incidentes de Unit 42 para ayudar con un compromiso o para proporcionar una evaluación proactiva para reducir su riesgo.

Vulnerabilidades discutidas	CVE-2025-14847

Detalles de la CVE-2025-14847

La vulnerabilidad MongoBleed se origina en la forma en que MongoDB procesa los mensajes de protocolo de cable comprimidos con zlib, una característica que está habilitada de forma predeterminada. La comunicación se maneja a través de un encabezado OP_COMPRESSED, que envuelve la carga útil del mensaje original e incluye un campo que especifica el tamaño esperado de los datos descomprimidos.

La ejecución del mecanismo de ataque ocurre de la siguiente manera:

Un atacante no autenticado envía un mensaje comprimido especialmente diseñado a un servidor MongoDB vulnerable.
El atacante manipula el campo uncompressedSize dentro del encabezado OP_COMPRESSED, estableciéndolo en un valor significativamente mayor que la carga útil comprimida real.
El servidor no valida este valor y asigna un búfer de memoria sobredimensionado basado en el tamaño especificado por el atacante. Este búfer se llena con memoria heap no inicializada, remanentes de datos procesados previamente.
La fuga se amplifica aún más por la lógica de manejo de errores de MongoDB. Cuando el objeto BSON malformado del atacante se envía sin un terminador null, el servidor intenta analizar la memoria hasta que encuentra un terminador null. Cuando el análisis finalmente falla, el servidor devuelve una respuesta de error que incluye tanto el mensaje malicioso original como el contenido de la memoria heap filtrada.

Es importante tener en cuenta que MongoDB aplicó automáticamente el parche a los clientes gestionados de MongoDB Atlas, lo que significa que los servidores MongoDB autoalojados requieren una aplicación de parches manual.

Este proceso permite a un atacante filtrar progresivamente grandes porciones de la memoria del servidor enviando solicitudes malformadas repetidas.

Vector de ataque e impacto

El vector de ataque es completamente remoto, no autenticado y no requiere interacción del usuario. Un adversario solo necesita acceso de red al puerto predeterminado de MongoDB (TCP/27017) para explotar la falla.

El impacto principal es una pérdida de datos de alta confidencialidad. Aunque MongoBleed se limita a ser una vulnerabilidad de divulgación de memoria de solo lectura y no permite la ejecución remota de código, la importancia estratégica de la información que puede filtrarse es vasta. Los atacantes podrían aprovechar los secretos filtrados para permitir un mayor compromiso del sistema, exfiltración de datos y movimiento lateral.

Esta vulnerabilidad afecta a las siguientes versiones de MongoDB:

Versión 8.2: 8.2.0 – 8.2.2
Versión 8.0: 8.0.0 – 8.0.16
Versión 7.0: 7.0.0 – 7.0.27
Versión 6.0: 6.0.0 – 6.0.26
Versión 5.0: 5.0.0 – 5.0.31
Versión 4.4: 4.4.0 – 4.4.29

Fin de vida útil (sin solución disponible):

Todas las versiones v4.2
Todas las versiones v4.0
Todas las versiones v3.6

Alcance actual del ataque utilizando CVE-2025-14847

La amenaza que representa MongoBleed no es teórica. Un exploit PoC público funcional se publicó en GitHub el 26 de diciembre de 2025. Los investigadores de seguridad observaron explotación activa en el entorno real poco después de la divulgación de la vulnerabilidad.

La confirmación oficial de la explotación activa llegó el 29 de diciembre de 2025, cuando la CISA de EE. UU. agregó la CVE-2025-14847 a su Catálogo KEV, ordenando que las agencias federales parchen la falla.

Cortex Xpanse identificó aproximadamente 146,000 instancias vulnerables de MongoDB expuestas a internet, proporcionando una métrica tangible para la superficie de ataque global.

Guía provisional

Si la aplicación inmediata de parches no es factible, se deben considerar las siguientes medidas temporales para ayudar a reducir el riesgo:

1. Segmentación de red: Reduzca la exposición bloqueando todo el acceso entrante de internet a las instancias de MongoDB en el puerto TCP/27017. Las conexiones deben restringirse a nivel de red únicamente a fuentes explícitamente confiables.

2. Deshabilitar la compresión zlib: Como solución temporal, deshabilite el soporte de compresión zlib dentro de la configuración de MongoDB. Esta acción evita que se active la ruta del código vulnerable. Las alternativas seguras incluyen snappy, zstd o deshabilitar completamente la compresión.

Consulte el rastreador de problemas mantenido por MongoDB para obtener sugerencias y actualizaciones adicionales.

Consultas de búsqueda de amenazas gestionada de Unit 42

El equipo de búsqueda de amenazas gestionada de Unit 42 (Managed Threat Hunting) continúa rastreando cualquier intento de explotar este CVE en nuestros clientes de Servicios Gestionados, utilizando la telemetría disponible dentro de Cortex XDR. Los clientes de Cortex XDR que no aprovechan los Servicios Gestionados de Unit 42 también pueden usar la siguiente consulta XQL para buscar signos de explotación.

La siguiente consulta intenta identificar un alto número de conexiones de red a servidores MongoDB. Los resultados de esta consulta pueden no indicar explícitamente una explotación, pero podrían usarse para señalar sistemas para una revisión adicional.

// Description: High Velocity network connection to MongoDB server may indicate exploitation of MongoBleed (CVE-2025-14847)

// Notes: Review the source IP of the requests and the host IP addresses. Validate they are not the same. If the IPs are on the same subnet it may be due to routing or load-balancing configuration.

dataset = xdr_data

| filter event_type = ENUM.NETWORK

| filter lowercase(actor_process_image_name) in ("mongod", "mongod.exe")

| filter action_network_is_server = true

// Filter for non-RFC1918 IP addresses. To include all IPs (depending on routing configuration it is possible traffic may have the internal IP of a load balancer, proxy, router, or firewall) comment the following line.

| filter action_remote_ip not in (null, "")

| filter incidr(action_remote_ip, "10.0.0.0/8") != true and // RFC1918

incidr(action_remote_ip, "192.168.0.0/16") != true and // RFC1918

incidr(action_remote_ip, "172.16.0.0/12") != true and // RFC1918

incidr(action_remote_ip, "127.0.0.0/8") != true and // Loopback

incidr(action_remote_ip, "169.254.0.0/16") != true and // Link Local

incidr(action_remote_ip, "224.0.0.0/4") != true and // Multicast

incidr(action_remote_ip, "255.255.255.255/32") != true and // Broadcast

incidr(action_remote_ip, "198.18.0.0/15") != true // Reserved

| fields _time, agent_hostname, agent_id, actor_effective_username, agent_ip_addresses, agent_external_ip, actor_process_image_name, actor_process_image_path, action_local_ip, action_local_port, action_remote_ip, action_remote_port, action_remote_ip_enrichment, action_network_app_ids, action_network_connection_id, action_network_dpi_fields, action_network_packet_data, action_network_protocol, action_network_session_duration, action_upload, action_download

| filter action_network_session_duration <= 5000

| bin _time span = 1m

| comp count(_time) as Counter, values(agent_ip_addresses) as agent_ip_addresses, values(agent_external_ip) as agent_external_ip, values(action_local_port) as Local_ports, count_distinct(action_local_port) as Local_port_Count by agent_hostname, action_remote_ip, _time

// Identify source IPs with a high volume of connections per Minute. This number can be increased or decreased as needed. The higher the number the greater the chance of malicious activity, while the lower the number the broader the scope/ ability to identify activity.

| filter Counter >= 500

// Description: High Velocity network connection to MongoDB server may indicate exploitation of MongoBleed (CVE-2025-14847)

// Notes: Review the source IP of the requests and the host IP addresses. Validate they are not the same. If the IPs are on the same subnet it may be due to routing or load-balancing configuration.

dataset = xdr_data

| filter event_type = ENUM.NETWORK

| filter lowercase(actor_process_image_name) in ("mongod", "mongod.exe")

| filter action_network_is_server = true

// Filter for non-RFC1918 IP addresses. To include all IPs (depending on routing configuration it is possible traffic may have the internal IP of a load balancer, proxy, router, or firewall) comment the following line.

| filter action_remote_ip not in (null, "")

| filter incidr(action_remote_ip, "10.0.0.0/8") != true and // RFC1918

incidr(action_remote_ip, "192.168.0.0/16") != true and // RFC1918

incidr(action_remote_ip, "172.16.0.0/12") != true and // RFC1918

incidr(action_remote_ip, "127.0.0.0/8") != true and // Loopback

incidr(action_remote_ip, "169.254.0.0/16") != true and // Link Local

incidr(action_remote_ip, "224.0.0.0/4") != true and // Multicast

incidr(action_remote_ip, "255.255.255.255/32") != true and // Broadcast

incidr(action_remote_ip, "198.18.0.0/15") != true // Reserved

| fields _time, agent_hostname, agent_id, actor_effective_username, agent_ip_addresses, agent_external_ip, actor_process_image_name, actor_process_image_path, action_local_ip, action_local_port, action_remote_ip, action_remote_port, action_remote_ip_enrichment, action_network_app_ids, action_network_connection_id, action_network_dpi_fields, action_network_packet_data, action_network_protocol, action_network_session_duration, action_upload, action_download

| filter action_network_session_duration <= 5000

| bin _time span = 1m

| comp count(_time) as Counter, values(agent_ip_addresses) as agent_ip_addresses, values(agent_external_ip) as agent_external_ip, values(action_local_port) as Local_ports, count_distinct(action_local_port) as Local_port_Count by agent_hostname, action_remote_ip, _time

// Identify source IPs with a high volume of connections per Minute. This number can be increased or decreased as needed. The higher the number the greater the chance of malicious activity, while the lower the number the broader the scope/ ability to identify activity.

| filter Counter >= 500

Conclusión

Si bien MongoBleed tiene una calificación de gravedad Crítica, usarla con éxito como arma contra una empresa monitoreada es operacionalmente difícil. Debido al retorno de fragmentos de datos aleatorios y no estructurados de un servidor explotado, capturar datos valiosos requiere que un atacante bombardee el servidor con miles de solicitudes.

Esto hace que cualquier explotación de MongoBleed que valga la pena sea una intrusión ruidosa, creando una huella digital que los controles estándar de heurística y limitación de velocidad deberían estar bien diseñados para detectar y bloquear mucho antes de que ocurra una exfiltración de datos significativa.

Los clientes de Palo Alto Networks están mejor protegidos por nuestros productos, como se indica a continuación.

Protecciones de productos de Palo Alto Networks para CVE-2025-14847

Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones de productos y servicios para ayudar a identificar y defenderse contra esta amenaza.

Si cree que puede haber sido comprometido o tiene un asunto urgente, póngase en contacto con el equipo de Respuesta a Incidentes de Unit 42 o llame al:

América del Norte: Línea gratuita: +1 (866) 486-4842 (866.4.UNIT42)
Reino Unido: +44.20.3743.3660
Europa y Medio Oriente: +31.20.299.3130
Asia: +65.6983.8730
Japón: +81.50.1790.0200
Australia: +61.2.4062.7950
India: 000 800 050 45107
Corea del Sur: +82.080.467.8774

Cortex XDR y XSIAM

Cortex XDR y XSIAM ayudan a proteger contra actividades posteriores a la explotación utilizando el enfoque de protección multicapa.

Cortex Xpanse

Cortex Xpanse está diseñado para identificar dispositivos MongoDB expuestos en la internet pública y escalar estos hallazgos a los defensores. Los clientes pueden habilitar alertas sobre este riesgo asegurándose de que las Reglas de Superficie de Ataque de MongoDB Server y Insecure MongoDB Server estén habilitadas.

Cortex Attack Surface Testing (AST) también puede validar si las instancias de MongoDB expuestas son vulnerables a la explotación ejecutando comprobaciones PoC benignas.

Los hallazgos identificados pueden verse en el Centro de Respuesta a Amenazas o en la vista de incidentes de Expander. Estos hallazgos también están disponibles para los clientes de Cortex XSIAM que han comprado el módulo de gestión de superficie de ataque (ASM).

Cortex Cloud

Cortex Cloud puede ayudar a detectar recursos alojados en la nube vulnerables a la CVE-2025-14847 mediante la colocación adecuada del agente de endpoint XDR de Cortex Cloud y agentes sin servidor (serverless) dentro de un entorno de nube.

Si bien la oferta de servicio gestionado de MongoDB fue parcheada automáticamente por el equipo de ingeniería de seguridad de MongoDB, las instancias en la nube autoalojadas aún pueden ser vulnerables. Cortex Cloud está diseñado para proporcionar descubrimiento de instancias de MongoDB autoalojadas en Amazon Web Services (AWS), Azure y Google Cloud (GCP). Esto permite a las organizaciones obtener visibilidad de los activos alojados en la nube, un primer paso crítico para mitigar amenazas como MongoBleed.

Además, Cortex Cloud tiene reglas de detección diseñadas específicamente para identificar y alertar sobre cualquier instancia de MongoDB autoalojada que sea accesible públicamente.

Por último, si las identidades de la nube se filtraron desde una instancia de MongoDB comprometida, Cortex Cloud Identity Security puede ayudar a detectar técnicas comunes basadas en identidad posteriores a la explotación utilizadas para obtener y mantener la persistencia, lo que resulta en una mayor explotación de las plataformas en la nube.

Actualizado el 14 de enero de 2026, a la 1:05 p. m. PT, para eliminar la palabra «vulnerables» de la frase sobre los servidores expuestos.

Etiquetas

Threat Research Center Siguiente:VVS Discord Stealer utiliza Pyarmor para ofuscación y evasión de detección

Resumen de amenazas: Vulnerabilidad de MongoDB (CVE-2025-14847)

Resumen ejecutivo