A equipa de segurança da MongoDB lançou um aviso severo aos administradores de sistemas de TI para que apliquem imediatamente as correções de segurança mais recentes, na sequência da descoberta de uma vulnerabilidade de alta gravidade. A falha permite que atacantes remotos, sem qualquer autenticação, consigam ler a memória do sistema.
Identificada como CVE-2025-14847, esta brecha de segurança afeta múltiplas versões do MongoDB e do MongoDB Server. O aspeto mais preocupante é a facilidade com que pode ser explorada: trata-se de um ataque de baixa complexidade que não requer qualquer interação por parte do utilizador para ser bem-sucedido.
O perigo da compressão zlib
A vulnerabilidade reside na implementação da biblioteca de compressão zlib do servidor. Segundo os especialistas, um exploit do lado do cliente pode tirar partido desta falha para obter dados da memória heap não inicializada, contornando os processos de autenticação habituais.
De acordo com os detalhes técnicos partilhados no boletim de segurança oficial, a falha deve-se a um tratamento incorreto da inconsistência de parâmetros de comprimento. Esta situação enquadra-se na classificação CWE-130 e, em cenários mais graves, poderia permitir aos atacantes executar código arbitrário e potencialmente assumir o controlo dos dispositivos visados.
A equipa da MongoDB foi perentória no seu comunicado de sexta-feira: "Recomendamos vivamente a atualização para uma versão corrigida o mais rapidamente possível". O risco é transversal, afetando desde as versões mais antigas (v3.6) até às iterações mais recentes da série 8.2.
Versões afetadas e como resolver
Para mitigar este risco e bloquear potenciais ataques, é crucial que as organizações atualizem as suas bases de dados para as versões que contêm a correção. As versões seguras recomendadas são:
MongoDB 8.2.3
MongoDB 8.0.17
MongoDB 7.0.28
MongoDB 6.0.27
MongoDB 5.0.32
MongoDB 4.4.30
A lista de versões vulneráveis é extensa e inclui:
MongoDB 8.2.0 a 8.2.3
MongoDB 8.0.0 a 8.0.16
MongoDB 7.0.0 a 7.0.26
MongoDB 6.0.0 a 6.0.26
MongoDB 5.0.0 a 5.0.31
MongoDB 4.4.0 a 4.4.29
Todas as versões do MongoDB Server v4.2, v4.0 e v3.6
Para os administradores que não consigam efetuar a atualização imediata, existe uma solução temporária sugerida pela empresa: desativar a compressão zlib no servidor MongoDB. Isto pode ser feito iniciando o mongod ou mongos com a opção networkMessageCompressors ou net.compression.compressors configurada para omitir explicitamente o zlib.
Este incidente sublinha a importância da manutenção regular de sistemas de gestão de bases de dados (DBMS), especialmente num software utilizado por mais de 62.500 clientes em todo o mundo, incluindo dezenas de empresas da Fortune 500. A gravidade da situação é reforçada pelos registos do NVD (National Institute of Standards and Technology), que classificam a vulnerabilidade como crítica devido ao potencial de exploração remota.
Nenhum comentário
Seja o primeiro!