Mit CVE-2025-14847 ist Ende Dezember 2025 eine schwerwiegende Sicherheitslücke in MongoDB bekannt geworden, die unter dem Namen MongoBleed geführt wird. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, über manipulierte zlib-komprimierte Anfragen uninitialisierten Heap-Speicher aus MongoDB-Instanzen auszulesen. Laut Akamai kann dieser Speicher sensible Inhalte wie Klartext-Passwörter, API-Keys oder andere Zugangsdaten enthalten.
Die Ursache liegt in der Verarbeitung komprimierter Wire-Protocol-Nachrichten: Ein Angreifer kann das Feld für die unkomprimierte Größe fälschen, wodurch MongoDB zu große Speicherbereiche reserviert und ungeprüfte Daten preisgibt. Fehlerhafte BSON-Nachrichten verstärken den Effekt zusätzlich, da die Server-Antwort den Speicherinhalt teilweise zurückliefert. Der CVSSv4-Score liegt bei 8,7.
Am 29. Dezember 2025 nahm die US-Behörde CISA die Lücke in ihren Known Exploited Vulnerabilities Catalog auf und bestätigte damit aktive Angriffe. Zeitgleich zeigen Akamai-Telemetriedaten, dass MongoDB-Kommunikation in rund 62 Prozent der Unternehmensnetze vorkommt. Suchmaschinen wie Shodan und Censys listen zusammen mehrere hunderttausend öffentlich erreichbare MongoDB-Instanzen. Ein Proof of Concept wurde bereits veröffentlicht.
Betroffen sind unter anderem MongoDB-Versionen 4.4 bis 8.2 in zahlreichen Unterversionen. Patches stehen seit Version 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 bereit. Zusätzlich empfiehlt Akamai, den Netzwerkzugang zu MongoDB strikt zu beschränken oder vorübergehend komprimierte Anfragen zu deaktivieren, falls ein sofortiges Update nicht möglich ist.
