A finals de desembre de 2025 es va fer pública MongoBleed (CVE-2025-14847), una vulnerabilitat de divulgació de memòria a MongoDB Server que recorda, per la seva mecànica i el seu nom, el cèlebre Heartbleed d’OpenSSL. El 29 de desembre l’agència nord-americana CISA va confirmar la seva explotació activa i la va afegir al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV), fixant com a termini de pegat per a les agències federals el 19 de gener de 2026.
Què és la vulnerabilitat
El defecte resideix en com MongoDB Server processa els paquets de xarxa quan la compressió zlib està habilitada (una configuració per defecte en molts desplegaments). La descripció oficial del NVD és precisa: “camps de longitud no coincidents a les capçaleres del protocol comprimit amb zlib poden permetre la lectura de memòria heap no inicialitzada per part d’un client no autenticat”.
Dit d’una altra manera: un atacant envia missatges comprimits manipulats amb un camp de longitud alterat, i el servidor respon retornant trossos de memòria del procés que no hauria d’exposar. És un patró clàssic d’over-read de memòria, idèntic en esperit a Heartbleed.
A qui afecta
La vulnerabilitat afecta un rang molt ampli de versions de MongoDB Server, incloses les branques 4.4, 5.0, 6.0, 7.0, 8.0 i 8.2. Les versions corregides són 4.4.30, 5.0.32, 6.0.27, 7.0.28, 8.0.17 i 8.2.3 i posteriors. La condició clau és tenir la compressió zlib activa i el port de MongoDB accessible des de la xarxa.
L’exposició és massiva: Shadowserver va localitzar més de 74.000 instàncies exposades i Censys va rastrejar més de 87.000 adreces IP potencialment vulnerables. Segons Wiz, el 42 % dels sistemes cloud visibles tenien almenys una instància de MongoDB en una versió afectada.
Gravetat
Està classificada com a alta, amb una puntuació CVSS 4.0 de 8.7 (i 7.5 a CVSS 3.1). El vector confirma com de perillós és el cas: explotable per xarxa (AV:N), de baixa complexitat (AC:L), sense autenticació (PR:N) i sense interacció de l’usuari (UI:N), amb un alt impacte en confidencialitat.
El perill real és el que es pot extreure d’aquesta memòria filtrada: credencials, claus d’API i de núvol, tokens de sessió, registres interns i dades personals (PII). Un investigador d’Elastic va publicar una prova de concepte que demostra la fuita de dades sensibles d’amfitrions sense pegar, cosa que eleva el risc d’explotació generalitzada.
Mitigació i pegat
MongoDB va corregir el defecte el 19 de desembre de 2025. La recomanació principal és actualitzar a les versions pegades indicades més amunt. Si l’actualització immediata no és viable, la mitigació temporal és deshabilitar la compressió zlib al servidor, cosa que tanca el vector d’atac.
Com a mesures addicionals convé aplicar sempre el principi de mínima exposició: no exposar el port de MongoDB directament a Internet, restringir l’accés per tallafocs i segmentació de xarxa, i exigir autenticació. Atès que hi ha explotació activa i PoC públic, aquest pegat s’ha de tractar com a prioritari en qualsevol inventari.