Una vulnerabilità critica di MongoDB, identificata come CVE-2025-14847 e attualmente sotto sfruttamento attivo a livello globale, potrebbe esporre oltre 87.000 istanze. Il problema, noto anche come MongoBleed, riguarda la gestione della decompressione dei messaggi di rete basata su zlib all'interno del MongoDB Server. In pratica, un attaccante non autenticato può inviare pacchetti compressi e malformati per innescare una perdita di informazioni dalla memoria del server, ottenendo frammenti di dati sensibili senza credenziali e senza alcuna interazione da parte dell'utente.
Il difetto nasce nella logica di decompressione, dove viene restituita la dimensione del buffer allocato invece della reale lunghezza dei dati decompressi. Questo comportamento può portare alla lettura di memoria heap non inizializzata e quindi all'esposizione di contenuti adiacenti in memoria. Poiché il percorso vulnerabile è raggiungibile prima della fase di autenticazione, i server MongoDB esposti su Internet risultano particolarmente a rischio. Anche se per ricostruire un quadro completo potrebbe essere necessario un volume elevato di richieste, più tempo ha l'attaccante e più aumenta la quantità di informazioni recuperabili, inclusi dati utente, password e API key.
Le analisi sull'esposizione indicano una diffusione ampia delle installazioni vulnerabili, con concentrazioni significative in Stati Uniti, Cina, Germania, India e Francia. Un ulteriore elemento di attenzione è che molte organizzazioni potrebbero avere versioni vulnerabili anche in ambienti cloud non direttamente esposti, rendendo fondamentale verificare sia le risorse pubbliche sia quelle interne.
Per ridurre il rischio è prioritario applicare gli aggiornamenti di sicurezza alle versioni corrette di MongoDB, tra cui 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Le patch risultano già applicate per MongoDB Atlas. In attesa dell'aggiornamento o come misura temporanea, è consigliato disabilitare la compressione zlib configurando networkMessageCompressors o net.compression.compressors in modo da escluderla. Altre mitigazioni efficaci includono la riduzione dell'esposizione di rete dei server MongoDB, l'applicazione di regole firewall e il monitoraggio dei log per individuare connessioni anomale in fase pre-autenticazione.