Actualidad CCN

CCN-CERT AL 12/25 Vulnerabilidad crítica en MongoDB

Fecha de publicación: 29/12/2025

Nivel de peligrosidad: Crítico

  • El CCN-CERT recomienda actualizar inmediatamente a la versión corregida de MongoDB.

El CCN-CERT, del Centro Criptológico Nacional, alerta de la publicación por parte de MongoDB de un aviso de seguridad en el que informa de una vulnerabilidad crítica (CVE-2025-14847) que afecta a todas las versiones de MongoDB desde 2017 y que estaría siendo explotada, existiendo pruebas de concepto públicas.

Esta vulnerabilidad está relaciona con un fallo en la implementación de la compresión zlib, una biblioteca presente en numerosos entornos open source. Su explotación puede dar lugar a la extracción de datos confidenciales de la memoria del servidor MongoDB sin necesidad de credenciales de inicio de sesión. Existen pruebas de concepto publicadas.

Vulnerabilidad y recursos afectados

CVE Nombre del producto Versión afectada Parche
CVE-2025-14847 MongoDB Server Desde 3.6 a 8.2 https://jira.mongodb.org/browse/SERVER-115508

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones realizar inmediatamente la actualización indicada por el fabricante. En aquellos casos en los que no sea posible aplicar el parche de manera inmediata, se aconseja deshabilitar temporalmente la compresión zlib en el servidor MongoDB, iniciando mongod o mongos con una opción networkMessageCompressors o net.compression.compressors que omita expresamente zlib.

Del mismo modo, se recomienda reforzar los controles de red, limitando la exposición de los servidores MongoDB mediante firewalls y segmentación de red, al tiempo que se monitorizar posibles indicadores de compromiso tras la aplicación de las medidas correctoras.

Más información: