MongoBleed - Kritische Sicherheitslücke in MongoDB legt sensible Daten offen
MongoDB hat eine schwerwiegende Sicherheitslücke mit der Kennung CVE-2025-14847 bekanntgegeben. Die Schwachstelle trägt den Namen "MongoBleed" – eine bewusste Anlehnung an Heartbleed, da auch hier sensible Speicherinhalte unbeabsichtigt preisgegeben werden können. Der Angriff ist unauthentifiziert, remote durchführbar und erfordert nur geringe technische Komplexität.
An uninitialized memory disclosure vulnerability in MongoDB Server's zlib decompression implementation allows unauthenticated remote attackers to read uninitialized heap memory. This flaw can lead to sensitive data exposure, including potentially leaked credentials, session tokens, or other sensitive information stored in memory. The vulnerability affects MongoDB Server instances with zlib compression enabled (default configuration).
Abhängig vom Kontext und der Serverauslastung können dabei unter anderem folgende Daten offengelegt werden:
- Verbindungsinformationen
- Zugangsdaten (z. B. Benutzername/Passwort-Fragmente)
- Datenbankinhalte oder Teile davon
- Interne Metadaten des MongoDB Servers
Der Angriff ist remote ausführbar, hat eine geringe Komplexität und funktioniert ohne Authentifizierung. Das macht die Lücke besonders attraktiv für automatisierte Scans und Massenangriffe. Ein erfolgreicher Exploit kann zur Exfiltration sensibler Daten führen und im schlimmsten Fall als Ausgangspunkt für weitergehende Angriffe dienen, etwa durch Credential-Reuse oder gezielte Datenmanipulation.
Eine produktive MongoDB-Instanz sollte grundsätzlich nicht öffentlich erreichbar sein. Ist dies ausnahmsweise erforderlich, muss der Zugriff durch Firewall-Regeln abgesichert und ein zeitnahes Patchen sichergestellt werden.
Proof of Concept Exploit: https://github.com/joe-desimone/mongobleed/tree/main
