top of page

MongoBleed (CVE-2025-14847): Kritische MongoDB-Sicherheitslücke mit Exploit

Kurz vor Jahresende hat die MongoDB-Community eine der gefährlichsten Schwachstellen der letzten Jahre erlebt. Während viele Unternehmen noch im Feiertagsmodus waren, tauchten nicht nur technische Details, sondern auch ein funktionierender Exploit im Netz auf. Der Technikchef von Elastic gab der Lücke den Namen „MongoBleed“ und stellte den Proof-of-Concept auf GitHub bereit.


Problematisch dabei ist dass für den Angriff die IP-Adresse einer MongoDB-Instanz ausreicht. Der Exploit kann Klartextdaten direkt aus dem Speicher abrufen, ohne Authentifizierung, ohne Benutzerinteraktion. Wir warnen aktuell vor einer schnellen und großflächigen Ausnutzung, da MongoDB weltweit extrem verbreitet ist. Laut unseren Tests sind aktuell rund 213.000+ Datenbanken weltweit angreifbar.


Wie funktioniert MongoBleed?

Die Schwachstelle trägt die Kennung CVE‑2025‑14847 und erreicht einen CVSS-Score von 8,7. Ursache ist ein Fehler in der zlib-Kompressionsroutine. Angreifer können manipulierte Pakete senden, die dazu führen, dass nicht zurückgesetzte Bereiche des Heap-Speichers ausgelesen werden. Dort liegen oft sensible Daten wie Passwörter, API-Keys oder Session-Tokens. Dafür ist weder ein Login oder ein Benutzerinput erforderlich. Der veröffentlichte Exploit demonstriert, wie trivial die Ausnutzung ist. Unterhalb mehr dazu.


MongoBleed PoC, Exploit
MongoBleed PoC

Betroffene Versionen

Folgende MongoDB Versionen sind betroffen:

  • MongoDB 8.2.0 – 8.2.3

  • MongoDB 8.0.0 – 8.0.16

  • MongoDB 7.0.0 – 7.0.26

  • MongoDB 6.0.0 – 6.0.26

  • MongoDB 5.0.0 – 5.0.31

  • MongoDB 4.4.0 – 4.4.29

  • Alle Versionen von 4.2, 4.0 und 3.6


Sichere Versionen: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30


Erster Großangriff: Ubisoft und Rainbow Six Siege

Die Gefahr ist nicht theoretisch: Ende Dezember (rund um den 28.12.2025) wurden die Rainbow Six Siege Server offline genommen, nachdem Angreifer die Infrastruktur kompromittierten. Dies viel auf, da Angreifer folgende Aktionen in den Systemen durchgeführt hatten:

  • Massive Verteilung von In-Game-Währung und Items

  • Übernahme von Admin-Funktionen, inklusive Bannlisten

  • Ubisoft musste alle Server herunterfahren und ein Rollback durchführen


Wir und andere Sicherheitsforscher vermuten, dass MongoBleed genutzt wurde, um Zugriff auf Backend-Datenbanken und Admin-Tokens zu erlangen. Der Schaden dürfte dabei in die Millionen gehen.


Was kann ich dagegen tun?

Maßnahmen gegen MongoBleed lassen sich wie folgt zusammenfassen:

  • Update einspielen auf die gepatchten Versionen

  • Falls nicht möglich: zlib-Kompression deaktivieren (Startparameter networkMessageCompressors oder net.compression.compressors ohne zlib)

  • Monitoring aktivieren: Auffällige Verbindungsfehler und Speicherzugriffe prüfen (Da viele Zugriffe erfolgen müssen, um sinnvolle Werte zu extrahieren, ist aktuell nur der Gang über den Traffic möglich)

vor 17 Minuten

2 Min. Lesezeit

Ähnliche Beiträge

Kommentare
Deine Meinung teilenJetzt den ersten Kommentar verfassen.
bottom of page