MongoBleed: Kritische MongoDB-Schwachstelle wird aktiv ausgenutzt

Mit CVE-2025-14847 ist Ende Dezember 2025 eine schwerwiegende Sicherheitslücke in MongoDB bekannt geworden, die unter dem Namen MongoBleed geführt wird. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, über manipulierte zlib-komprimierte Anfragen uninitialisierten Heap-Speicher aus MongoDB-Instanzen auszulesen. Laut Akamai kann dieser Speicher sensible Inhalte wie Klartext-Passwörter, API-Keys oder andere Zugangsdaten enthalten.

Die Ursache liegt in der Verarbeitung komprimierter Wire-Protocol-Nachrichten: Ein Angreifer kann das Feld für die unkomprimierte Größe fälschen, wodurch MongoDB zu große Speicherbereiche reserviert und ungeprüfte Daten preisgibt. Fehlerhafte BSON-Nachrichten verstärken den Effekt zusätzlich, da die Server-Antwort den Speicherinhalt teilweise zurückliefert. Der CVSSv4-Score liegt bei 8,7.

Am 29. Dezember 2025 nahm die US-Behörde CISA die Lücke in ihren Known Exploited Vulnerabilities Catalog auf und bestätigte damit aktive Angriffe. Zeitgleich zeigen Akamai-Telemetriedaten, dass MongoDB-Kommunikation in rund 62 Prozent der Unternehmensnetze vorkommt. Suchmaschinen wie Shodan und Censys listen zusammen mehrere hunderttausend öffentlich erreichbare MongoDB-Instanzen. Ein Proof of Concept wurde bereits veröffentlicht.

Betroffen sind unter anderem MongoDB-Versionen 4.4 bis 8.2 in zahlreichen Unterversionen. Patches stehen seit Version 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 bereit. Zusätzlich empfiehlt Akamai, den Netzwerkzugang zu MongoDB strikt zu beschränken oder vorübergehend komprimierte Anfragen zu deaktivieren, falls ein sofortiges Update nicht möglich ist.

Related Posts

Notepad++ 8.8.9 schließt Update-Sicherheitslücke nach Traffic-Hijacking-Fällen

Notepad++ hat mit Version 8.8.9 eine kritische Schwachstelle im integrierten Updater WinGUp behoben. Laut Entwickler und Sicherheitsforschern war es Angreifern in Einzelfällen gelungen, den Netzwerkverkehr des Updaters abzufangen und umzuleiten – wodurch manipulierte ausführbare Dateien statt legitimer Updates heruntergeladen und ausgeführt wurden.

Read More

Apache HTTP Server: SSI-Schwachstelle CVE-2025-58098 ermöglicht Command-Ausführung

Der Apache HTTP Server war bis einschließlich Version 2.4.65 von einer gefährlichen Schwachstelle betroffen, die Server Side Includes (SSI) in Verbindung mit mod_cgid betrifft. Laut neu veröffentlichtem CVE-Eintrag (CVE-2025-58098) wird die shell-escapte Query-String an #exec cmd="..."-Direktiven weitergereicht – und öffnet so die Tür für das Ausführen beliebiger Befehle.

Read More

Kritische XXE-Schwachstelle in GeoServer entdeckt

In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.

Read More