# CVE-2025-14847 > [!high] CVSS 7.5 - MongoDB Server Leitura de Memória Heap Não Inicializada > Inconsistência de campos de comprimento em cabeçalhos de protocolo comprimido Zlib permite que um cliente não autenticado leia memória heap não inicializada do servidor MongoDB, expondo potencialmente dados sensíveis em memória. ## Visão Geral CVE-2025-14847 é uma vulnerabilidade de alta gravidade (CVSS 7.5) no **MongoDB Server** que afeta um espectro extremamente amplo de versões, desde a 3.6.0 até as mais recentes séries 8.x. A falha reside no tratamento de cabeçalhos de protocolo comprimido Zlib: quando campos de comprimento são inconsistentes entre si, o servidor lê uma região de memória heap que não foi corretamente inicializada, podendo expor fragmentos de dados que estavam previamente em uso por outros processos ou operações. A natureza da exploração é particularmente preocupante: **não é necessária autenticação**. Um cliente externo pode enviar uma mensagem malformada com campos de comprimento inconsistentes e obter em resposta conteúdo aleatório da memória heap do servidor. Dependendo do que estava armazenado nessa memória, o vazamento pode incluir fragmentos de queries anteriores, valores de documentos, chaves de autenticação em trânsito ou outros dados operacionais do servidor de banco de dados. A amplitude do impacto em versões — cobrindo práticamente todas as versões MongoDB lançadas nos últimos 8 anos — é um indicador da profundidade da falha no código do protocolo de compressão. Para organizações que utilizam MongoDB como banco de dados principal de aplicações web, APIs e serviços críticos (muito comuns em startups e fintechs brasileiras), esta vulnerabilidade representa risco de vazamento de dados de negócio e potencialmente de credenciais em memória. ## Produtos Afetados | Série | Versões Vulneráveis | Versão Corrigida | |-------|---------------------|-----------------| | MongoDB 3.6.x/4.4.x | 3.6.0 - 4.4.29 | Atualizar para série 5.0+ | | MongoDB 5.0.x | 5.0.0 - 5.0.31 | 5.0.32+ | | MongoDB 6.0.x | 6.0.0 - 6.0.26 | 6.0.27+ | | MongoDB 7.0.x | 7.0.0 - 7.0.27 | 7.0.28+ | | MongoDB 8.0.x | 8.0.0 - 8.0.16 | 8.0.17+ | | MongoDB 8.2.x | 8.2.0 - 8.2.2 | 8.2.3+ | ## Análise Técnica A vulnerabilidade é classificada como **CWE-130** (Improper Handling of Length Parameter Inconsistency). O fluxo de exploração: 1. **Conexão sem autenticação:** Conectar ao MongoDB na porta padrão 27017 (ou porta configurada) 2. **Mensagem malformada:** Enviar mensagem de protocolo com compressão Zlib ativa e campos de comprimento inconsistentes 3. **Leitura de heap:** O servidor processa a inconsistência e lê além da região inicializada 4. **Vazamento de dados:** A resposta contém fragmentos de memória heap do processo MongoDB Esta vulnerabilidade mapeia para [[t1190-exploit-public-facing-application|T1190]] quando o MongoDB está exposto à internet, e para [[t1005-data-from-local-system|T1005]] no padrão de coleta de dados sensíveis em memória. A combinação com MongoDB sem autenticação eleva o risco para crítico. ## Attack Flow ```mermaid graph TB A["🔍 Descoberta<br/>MongoDB exposto na porta 27017<br/>Compressão Zlib habilitada"] --> B["📦 Payload malformado<br/>Cabeçalho Zlib inconsistente<br/>CVE-2025-14847"] B --> C["💾 Leitura de heap<br/>Memória não inicializada<br/>Conteúdo de operações anteriores"] C --> D["📊 Exfiltração de dados<br/>Fragmentos de documentos<br/>Credenciais em trânsito"] D --> E["🎯 Reconhecimento expandido<br/>Mapa de dados e estrutura<br/>Base para ataques adicionais"] ``` ## Mitigação **Ação imediata (CISA KEV):** 1. **Atualizar** MongoDB para as versões corrigidas listadas na tabela acima 2. **Desabilitar compressão Zlib** temporariamente se o patch não puder ser aplicado: definir `networkMessageCompressors=snappy` nos parâmetros de inicialização 3. **Garantir autenticação habilitada:** MongoDB sem autenticação exposto à internet é risco crítico independente desta CVE 4. **Restringir acesso de rede:** Firewall para limitar acesso ao MongoDB apenas a IPs de aplicação autorizados 5. **Habilitar TLS/SSL:** Criptografar comunicação com o servidor MongoDB Referência: [MongoDB Jira SERVER-115508](https://jira.mongodb.org/browse/SERVER-115508) > [!latam] Relevância para Brasil e América Latina > MongoDB é o banco de dados NoSQL mais utilizado em aplicações web e APIs no Brasil, especialmente em startups, fintechs, e-commerce e plataformas digitais. É extremamente comum encontrar instâncias MongoDB expostas sem autenticação na internet brasileira — um problema histórico identificado em múltiplos relatórios de segurança. Esta CVE eleva o risco destas instâncias: mesmo que protegidas por autenticação, a falha pode ser explorada antes da autenticação para vazar dados de memória. Times de infraestrutura brasileiros devem auditar todas as instâncias MongoDB, verificar versões e aplicar patches imediatamente. ## Referências - [MongoDB Jira - SERVER-115508](https://jira.mongodb.org/browse/SERVER-115508) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-14847) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) **Ver também:** [[_mongodb|MongoDB]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1005-data-from-local-system|T1005]] · [[t1040-network-sniffing|T1040]] · [[m1031-network-intrusion-prevention|M1031]] · [[m1030-network-segmentation|M1030]] · [[m1041-encrypt-sensitive-information|M1041]]