Pesquisadores das empresas de segurança cibernética OX Security e Wiz.io identificaram uma vulnerabilidade crítica no MongoDB, oficialmente denominada MongoBleed (CVE-2025-14847). Essa falha foi descrita como uma ameaça severa que já foi explorada em invasões a diversos sites e serviços online. O ponto crítico da brecha reside na capacidade que oferece a hackers de vazarem informações sensíveis diretamente da memória dos servidores. Um dos ataques notáveis que aproveitaram esta vulnerabilidade foi direcionado contra o jogo Rainbow Six Siege e seu marketplace, forçando a Ubisoft a suspender temporariamente seus serviços.
O MongoDB se destaca como uma das bases de dados NoSQL mais utilizadas no mundo, presente nos sistemas de startups a grandes corporações, assim como em plataformas em nuvem voltadas para variados setores, incluindo finance, IoT, serviços de análise e jogos. A vulnerabilidade MongoBleed foi oficialmente divulgada no dia 24 de dezembro, representando uma falha no gerenciamento do arquivo message_compressor_zlib.cpp, que integra a camada de descompressão da rede do servidor utilizando a biblioteca zlib.
Quando uma mensagem comprimida maliciosa é enviada a um servidor MongoDB vulnerável, este aloca um buffer com base em um tamanho descomprimido falso. Consequentemente, retorna dados de memória heap não inicializada. Este ataque ocorre de maneira que não requer autenticação, eliminando assim a necessidade de credenciais para que os hackers executem suas ações. Dados confidenciais armazenados na memória, como senhas, chaves de API e registros internos, podem ser extraídos silenciosamente e em grande escala.
A falha afeta todas as versões suportadas e legadas do servidor MongoDB, abrangendo as versões da 3.6 até a 8.2.2. As falhas estão presentes nas seguintes versões: MongoDB 8.2.0 até 8.2.2; MongoDB 8.0.0 até 8.0.16; MongoDB 7.0.0 até 7.0.27; MongoDB 6.0.0 até 6.0.26; MongoDB 5.0.0 até 5.0.31, entre outras. Versões corrigidas incluem a 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30, que receberam patches de segurança corretivos.
A primeira demonstração pública da exploração desta vulnerabilidade ocorreu em 25 de dezembro, conduzida pelo pesquisador de segurança Joe Desimone. Desimone demonstrou como era possível vazar informações de memória de qualquer instância do MongoDB, meramente utilizando um endereço IP.
Para instituições que utilizam esta tecnologia, a atualização para as versões corrigidas é fortemente recomendada. No entanto, caso a atualização imediata não seja possível, uma mitigação temporária envolve a desativação da compressão zlib, utilizando as opções –networkMessageCompressors ou net.compression.compressors para omitir a zlib. Alternativas de compressão como snappy e zstd, ou simplesmente a desativação da compressão, também são recomendadas. Além disso, um detector de código aberto para identificar a presença da falha MongoBleed foi lançado pelo pesquisador de segurança Florian Roth.