Nova falha no MongoDB permite acesso não autorizado à memória não inicializada

Tipo principal do conteúdo: Cibersegurança

Uma vulnerabilidade crítica foi identificada no MongoDB, sistema amplamente utilizado para gerenciamento de bancos de dados, que pode permitir que usuários não autenticados acessem áreas não inicializadas da memória heap do servidor. Registrada como CVE-2025-14847 e com pontuação CVSS de 8.7, a falha decorre do tratamento inadequado de inconsistências no parâmetro de comprimento em cabeçalhos de protocolo comprimidos com zlib. Esse erro técnico ocorre quando o campo de tamanho declarado não corresponde ao tamanho real dos dados, possibilitando a leitura de informações potencialmente sensíveis armazenadas na memória.

O problema afeta diversas versões do MongoDB, desde a 3.6 até a 8.2.3, abrangendo múltiplas gerações do software. A exploração da vulnerabilidade pode ser realizada remotamente, sem necessidade de autenticação, o que amplia o risco operacional para ambientes que utilizam o banco de dados em aplicações críticas. A falha pode expor dados internos do sistema, ponteiros e outros elementos que facilitam ataques subsequentes ou comprometimento adicional da infraestrutura.

A equipe do MongoDB já disponibilizou correções nas versões mais recentes de cada linha afetada. Para administradores que não possam atualizar imediatamente, recomenda-se desabilitar a compressão zlib no servidor, optando por alternativas como snappy ou zstd, a fim de mitigar o risco até a aplicação do patch. A rápida resposta e atualização são essenciais para evitar a exposição de dados e preservar a integridade operacional dos sistemas que dependem do MongoDB.