La vulnerabilidad identificada como CVE-2025-14847, permite a los atacantes sin autenticación extraer datos sensibles desde servidores MongoDB. La falla, que está siendo explotada a gran escala, está motivando alertas y plazos obligatorios para su mitigación en diferentes países.
Una vulnerabilidad crítica en MongoDB, conocida como “MongoBleed” y registrada como CVE-2025-14847, encendió las alarmas en la comunidad internacional de ciberseguridad tras confirmarse su explotación activa en internet. La falla, con una puntuación de severidad de 8,7, afecta a múltiples versiones del popular sistema de bases de datos NoSQL y permite a atacantes remotos, sin necesidad de credenciales, filtrar información altamente sensible desde la memoria de los servidores.
El problema tiene su origen en la forma en que MongoDB procesa mensajes de red comprimidos mediante la librería zlib. Investigadores de Ox Security explicaron en un informe que, al manejar mensajes malformados, el servidor devuelve al cliente la cantidad de memoria asignada y no la longitud real de los datos descomprimidos, lo que provoca la filtración de fragmentos de memoria. En esos fragmentos pueden encontrarse contraseñas, claves de API, credenciales en texto plano, tokens de sesión, información personal e incluso configuraciones internas.
“Un exploit del lado del cliente sobre la implementación zlib del servidor puede devolver memoria no inicializada sin autenticación”, advirtió el equipo de seguridad de MongoDB en un comunicado, en el que recomendó actualizar de inmediato a versiones corregidas. El parche está disponible desde el 19 de diciembre, pero la publicación de un exploit funcional aceleró el riesgo. El investigador de Elastic Security Joe Desimone difundió un código de prueba de concepto que demuestra cómo extraer datos directamente de la memoria de servidores no actualizados.
La exposición es masiva. Plataformas de monitoreo como Censys y Shadowserver estimaron entre 74 y 87 mil las instancias de MongoDB potencialmente vulnerables y accesibles desde internet, concentradas principalmente en Estados Unidos, China, Alemania e India. Por su parte, la firma Wiz señaló que el impacto en la nube es especialmente relevante, y señalaron que un “42% de los entornos visibles tiene al menos una instancia de MongoDB en una versión vulnerable a CVE-2025-14847.
Ante este escenario, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) incorporó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ordenó a las agencias civiles y federales de ese país aplicar mitigaciones antes del 19 de enero de 2026. “Este tipo de vulnerabilidades representa un riesgo significativo para la empresa federal”, advirtió el organismo, que también instó a seguir las directrices de la BOD 22-01 o, si no existen mitigaciones, a dejar de usar el producto.
Australia también confirmó la explotación activa. Su Centro de Ciberseguridad señaló que está “al tanto de la explotación global” de la vulnerabilidad, subrayando el carácter internacional de la amenaza. Los expertos coinciden en que, por su simplicidad técnica, el abuso será mayoritariamente oportunista.
MongoDB recomendó actualizar a las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30. Cuando no sea posible, la única alternativa es deshabilitar la compresión zlib y optar por métodos más seguros como zstd o snappy. Además, advirtieron que parchear no basta, y que es clave revisar los registros para detectar signos de compromiso, ya que la explotación pudo haber comenzado apenas horas después de publicarse el exploit.