MongoDB-Sicherheitslücke ermöglicht Zugriff auf Serverdaten ohne Anmeldung

Sicherheitsforscher warnen vor Speicherleck in MongoDB-Servern

Eine neu entdeckte Schwachstelle in MongoDB-Servern macht es Angreifern möglich, ohne vorherige Authentifizierung auf sensible Daten im Arbeitsspeicher zuzugreifen. Die unter CVE-2025-14847 geführte Lücke erhielt den Namen MongoBleed und betrifft mehrere Server-Versionen der Datenbank-Software.

Fehlerhafte Verarbeitung von Netzwerkpaketen als Ursache

Sicherheitsexperten von Ox Security identifizierten die Ursache der Schwachstelle in der Verarbeitung von Netzwerkpaketen durch den MongoDB-Server. Das Problem liegt in der Handhabung der zlib-Bibliothek, die für die verlustfreie Komprimierung von Daten zuständig ist.

Bei der Verarbeitung eingehender Netzwerknachrichten gibt MongoDB fälschlicherweise die Größe des reservierten Speicherbereichs zurück statt der tatsächlichen Länge der entpackten Daten. Angreifer können manipulierte Nachrichten versenden, die nach dem Entpacken eine größere Datenmenge vortäuschen. Der Server weist daraufhin einen zu großen Speicherpuffer zu und gibt dabei ungewollt Informationen aus dem Arbeitsspeicher preis.

Die Sicherheitslücke wurde mit einem CVSS-Score von 8,7 bewertet und als kritisch eingestuft. Seit dem 19. Dezember 2025 steht ein Sicherheitsupdate für selbst gehostete MongoDB-Instanzen bereit.

Angriff ohne Authentifizierung möglich

Die Schwachstelle erlaubt es Angreifern, ohne Anmeldedaten auf MongoDB-Server zuzugreifen. Da die Lücke auf Netzwerkebene ausgenutzt wird, können Angreifer ihre Anfragen direkt versenden, ohne sich zuvor am System authentifizieren zu müssen.

Betroffen sind alle Server mit öffentlich erreichbaren MongoDB-Ports innerhalb der anfälligen Versionen. Auch private Server können zum Ziel werden, wenn Angreifer sich bereits im Netzwerk befinden und lateral bewegen können.

Mögliche Folgen des Angriffs

Über die Schwachstelle können Angreifer verschiedene sensible Informationen aus dem Serverspeicher auslesen. Dazu gehören Nutzerdaten, Passwörter, API-Schlüssel und weitere vertrauliche Inhalte.

Zwar müssen Angreifer unter Umständen zahlreiche Anfragen senden, um größere Datenmengen zu erfassen, und nicht alle ausgelesenen Informationen sind zwangsläufig relevant. Dennoch gilt: Je länger ein Angriff unbemerkt bleibt, desto mehr Daten können extrahiert werden.

Empfohlene Schutzmaßnahmen

Administratoren sollten betroffene MongoDB-Server umgehend auf die gepatchte Version aktualisieren, besonders wenn diese öffentlich erreichbar sind.

Zusätzlich empfiehlt sich das Schließen ungenutzter Ports, über die Angreifer direkte Netzwerkanfragen an den MongoDB-Server richten könnten. Als weitere Option kann die zlib-Komprimierung auf den Servern deaktiviert werden. Diese Maßnahme kann zwar Auswirkungen auf die Performance haben, erschwert aber entsprechende Angriffe.

Technische Details zum Patch

Der Sicherheitspatch behebt einen Fehler in der Datei message_compressor_zlib.cpp. Die fehlerhafte Code-Zeile return {output.length()}; wies das System an, die Größe des allokierten Speichers zurückzugeben statt der tatsächlichen Länge der entpackten Daten. Die korrigierte Zeile return length; stellt sicher, dass ausschließlich die reale Datenlänge zurückgegeben wird.

In der Testdatei src/mongo/transport/message_compressor_manager_test.cpp wurden zusätzliche Prüfungen implementiert, die den Kompressor-Code mit manipulierten Werten testen und so verifizieren, dass das Speicherzuweisungsproblem behoben wurde.

Zusammenfassung

Die Schwachstelle CVE-2025-14847 ermöglicht nicht authentifizierten Angreifern den Fernzugriff auf sensible Daten im Arbeitsspeicher von MongoDB-Servern. Administratoren sollten umgehend auf die aktuelle Version updaten oder alternativ die zlib-Dekomprimierung deaktivieren.

Mehr erfahren