MongoDB alerta administradores sobre falha crítica de execução remota

Tipo principal do conteúdo: Cibersegurança

O MongoDB, um dos sistemas de gerenciamento de banco de dados não-relacional mais utilizados globalmente, divulgou uma vulnerabilidade crítica identificada como CVE-2025-14847. Essa falha permite a execução remota de código (RCE) em servidores afetados, podendo ser explorada por agentes não autenticados por meio de ataques de baixa complexidade, sem necessidade de interação do usuário. O problema está relacionado ao tratamento inadequado de inconsistências no parâmetro de comprimento durante a compressão de dados com zlib, o que pode resultar na execução de código arbitrário e potencial controle do servidor comprometido.

A vulnerabilidade afeta diversas versões do MongoDB, incluindo desde a 3.6 até a 8.2.3, abrangendo também todas as versões do MongoDB Server 4.0, 4.2 e 4.4. Para mitigar o risco, a recomendação técnica é a atualização imediata para as versões corrigidas, como 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Caso a atualização não seja possível de imediato, orienta-se desabilitar a compressão zlib utilizando as opções de configuração apropriadas no serviço mongod ou mongos.

O impacto operacional dessa vulnerabilidade é significativo, pois pode permitir que invasores obtenham acesso privilegiado a dados sensíveis, comprometam a integridade do ambiente e causem indisponibilidade de serviços críticos. O MongoDB é amplamente utilizado em aplicações corporativas, inclusive por empresas da Fortune 500, o que amplia o potencial de exposição e os riscos associados. A rápida resposta dos administradores de sistemas é fundamental para evitar incidentes de segurança e proteger infraestruturas digitais que dependem desse banco de dados.