CVE-2026-25611

Nome do Software Vulnerável e Versões Afetadas Versões do MongoDB 3.4 e posteriores

Descrição Uma falha no tratamento do OP COMPRESSED do MongoDB permite que atacantes não autenticados derrubem servidores com tráfego mínimo. O problema ocorre porque o MongoDB aloca aproximadamente 48 MB de memória por conexão antes de validar os parâmetros de descompressão. Atacantes podem enviar pacotes forjados, com cerca de 47 KB de tamanho, contendo valores manipulados para uncompressedSize, provocando um esgotamento rápido da memória. Conexões simultâneas podem levar a encerramentos forçados por falta de memória e interrupção do serviço. Esta vulnerabilidade afeta implantações com compressão habilitada, que é a configuração padrão desde a versão 3.6, incluindo o MongoDB Atlas. Aproximadamente 207.000 instâncias estão potencialmente expostas. O ataque envolve o envio de um pacote comprimido com zlib que informa um tamanho descomprimido maior para causar alocação excessiva de memória.

Recomendações As versões do MongoDB 3.4 e posteriores devem receber patches para corrigir esta vulnerabilidade. Limite a exposição das instâncias do MongoDB à internet.