MongoDB: Kritische DoS-Lücke gefunden
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang 2026 erneut Sicherheitshinweise für MongoDB veröffentlicht. Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe (DoS) sowie das Auslesen sensibler Daten – teilweise ohne Authentifizierung. Betroffen sind zahlreiche Versionen des weitverbreiteten NoSQL-Datenbanksystems. Administratoren sollten umgehend handeln, um Datenverluste und Ausfälle zu vermeiden.
Welche Schwachstellen sind bekannt?
Aktuell kursieren mehrere kritische Sicherheitslücken in MongoDB. Die prominenteste ist die sogenannte „MongoBleed“-Lücke (CVE-2025-14847). Sie wird mit einem CVSS-Score von 8,7 bewertet und erlaubt es Angreifern, über einen Fehler in der zlib-Komprimierung nicht zurückgesetzten Arbeitsspeicher (Heap Memory) auszulesen. Dabei können Passwörter, Sitzungs-Token oder andere sensible Informationen im Klartext abgegriffen werden – und das ohne gültige Zugangsdaten. Ein öffentlich verfügbarer Proof-of-Concept (PoC) erhöht das Risiko weiter.
Zusätzlich wurden Anfang 2026 zwei weitere Schwachstellen gemeldet:
- CVE-2026-6914: Die Berechnung der MD5-Prüfsumme eines manipulierten BSON-Objekts kann zu einem Integer-Underflow führen und den Server zum Absturz bringen. Dies ermöglicht gezielte DoS-Angriffe.
- CVE-2026-6915: Ein Autorisierungsfehler im User-Management erlaubt es authentifizierten Nutzern, begrenzte Änderungen an fremden Benutzerkonten vorzunehmen und so die Authentifizierung zu manipulieren.
Darüber hinaus kann MongoDB bei der Verarbeitung extrem verschachtelter Dokumente in einen Out-of-Memory-Zustand geraten, da rekursive Funktionen die Verschachtelungstiefe nicht regelmäßig prüfen.
Betroffene Versionen
Von den Schwachstellen sind vor allem folgende MongoDB-Server-Versionen betroffen:
- MongoDB 8.2.0 bis 8.2.3
- MongoDB 8.0.0 bis 8.0.16
- MongoDB 7.0.0 bis 7.0.27
- MongoDB 6.0.0 bis 6.0.26
- MongoDB 5.0.0 bis 5.0.31
- MongoDB 4.4.0 bis 4.4.29
- Ältere End-of-Life-Versionen (4.2, 4.0, 3.6)
Weltweit sind laut BSI knapp 86.000 verwundbare MongoDB-Instanzen aus dem Internet erreichbar – davon mehr als 7.700 in Deutschland. Das macht die Bedrohung besonders konkret.
Was ist das konkrete Risiko?
Die kombinierte Gefahr aus DoS und Informationslecks ist hoch. Ein erfolgreicher Angriff kann folgende Auswirkungen haben:
- Verfügbarkeitsverlust: Durch gezielte BSON-Manipulation oder verschachtelte Dokumente kann der MongoDB-Server abstürzen oder unendlich Speicher allozieren.
- Datenabfluss: Angreifer können Passwörter, Sitzungs-Token, Konfigurationsdaten und personenbezogene Daten direkt aus dem Speicher auslesen.
- Authentifizierungsumgehung: Über CVE-2026-6915 können Angreifer die Anmeldeinformationen anderer Benutzer verändern und so Zugriff erhalten.
Handlungsempfehlungen
Das BSI sowie der Hersteller MongoDB Inc. raten dringend zur sofortigen Aktualisierung auf gepatchte Versionen:
- MongoDB 8.2.3 oder höher
- MongoDB 8.0.17 oder höher
- MongoDB 7.0.28 oder höher
- MongoDB 6.0.27 oder höher
- MongoDB 5.0.32 oder höher
- MongoDB 4.4.30 oder höher
Wer nicht sofort patchen kann, sollte als Workaround die zlib-Komprimierung deaktivieren. Das erreichen Administratoren, indem sie mongod oder mongos mit der Option --networkMessageCompressors starten, die zlib explizit ausschließt.
Zusätzlich empfiehlt das BSI:
- Prüfen, ob MongoDB-Instanzen wirklich aus dem Internet erreichbar sein müssen.
- Firewall-Regeln und Zugriffsbeschränkungen auf vertrauenswürdige Quellen einrichten.
- End-of-Life-Versionen zeitnah auf unterstützte Versionen upgraden.
Fazit
Die aktuellen MongoDB-Schwachstellen zeigen eindrücklich, wie verwundbar weitverbreitete NoSQL-Datenbanken sein können. DoS-Angriffe und Speicherlecks gefährden sowohl die Verfügbarkeit als auch die Vertraulichkeit von Daten. Angesichts der hohen Zahl exponierter Instanzen in Deutschland ist schnelles Handeln unerlässlich. Administratoren sollten die empfohlenen Patches zeitnah einspielen und die Netzwerk-Exposition ihrer Datenbanken kritisch hinterfragen.
Kommentar abschicken