enero 14, 2026
mongodb.jpg

27 de diciembre de 2025Ravie LakshmananSeguridad/vulnerabilidad de la base de datos

Se ha descubierto una vulnerabilidad de seguridad de alto nivel en MongoDB que podría permitir a usuarios no autenticados leer memoria de montón no inicializada.

La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8,7) se describió como un caso de manejo inadecuado de la inconsistencia de los parámetros de longitud, que ocurre cuando un programa no aborda adecuadamente escenarios en los que un campo de longitud no coincide con la longitud real de los datos asociados.

“Los campos de longitud no coincidente en los encabezados del protocolo comprimido Zlib pueden permitir que un cliente no autenticado lea la memoria dinámica no inicializada”, se lee en una descripción del error en CVE.org.

Ciberseguridad

El error afecta a las siguientes versiones de la base de datos:

  • MongoDB 8.2.0 a 8.2.3
  • MongoDB 8.0.0 a 8.0.16
  • MongoDB 7.0.0 a 7.0.26
  • MongoDB 6.0.0 a 6.0.26
  • MongoDB 5.0.0 a 5.0.31
  • MongoDB 4.4.0 a 4.4.29
  • Todas las versiones del servidor MongoDB v4.2
  • Todas las versiones del servidor MongoDB v4.0
  • Todas las versiones del servidor MongoDB v3.6

El problema se solucionó en las versiones 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30 de MongoDB.

“Un exploit del lado del cliente de la implementación zlib del servidor puede devolver memoria dinámica no inicializada sin autenticación al servidor”, dijo MongoDB. “Recomendamos encarecidamente actualizar a una versión fija lo antes posible”.

Ciberseguridad

Si no es posible una actualización inmediata, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresor admitidas por MongoDB son snappy y zstd.

“CVE-2025-14847 permite que un atacante remoto y no autenticado desencadene una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su montón”, dijo OP Innovate. “Esto podría resultar en la exposición de datos confidenciales en la memoria, incluida información de estado interno, punteros u otros datos que podrían ayudar a un atacante a explotar aún más”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

nyt-word-games-connections-2798.jpg

Pistas y respuestas de NYT Connections de hoy para el 14 de enero #948

enero 14, 2026 0
wordle-word-game-hints-puzzle-8667.jpg

Pistas, respuestas y ayuda del NYT Wordle de hoy para el 14 de enero #1670

enero 14, 2026 0
Washington-capitol-building-1260x945.jpg

El proyecto de ley del estado de Washington apunta a los listados de bienes raíces privados y requeriría comercialización pública

enero 14, 2026 0
waymo-ces-2026.jpg

El gobernador de Nueva York está allanando el camino para los taxis robot en todas partes, con una notable excepción

enero 14, 2026 0
roblox_1.jpg

Según se informa, el sistema de verificación de edad de Roblox es un desastre

enero 14, 2026 0
Screenshot_2026-01-13_at_13.25.49.png

Instagram quiere que personalices tu algoritmo de Reels para 2026

enero 14, 2026 0