一、漏洞概述
漏洞名称 | MongoDB zlib 压缩内存泄露漏洞 |
CVE ID | CVE-2025-14847 |
漏洞类型 | 信息泄露 | 发现时间 | 2025-12-29 |
漏洞评分 | 8.7 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
MongoDB是一个开源的NoSQL数据库管理系统,采用文档导向存储方式,以BSON(类似JSON)格式存储数据。它具有高扩展性、灵活的模式设计和优秀的性能,特别适用于处理大规模数据和动态变化的应用场景。MongoDB支持水平扩展,通过分片技术实现数据分布,适用于大数据分析、实时数据处理等领域。其灵活的数据结构使其能够高效处理复杂的查询和多样化的应用需求。
2025年12月29日,威廉希尔500欧洲指数集团VSRC监测到MongoDB Server中的一个高危漏洞,源于zlib压缩协议头的处理不当,攻击者可利用该漏洞在无需认证的情况下触发远程内存泄露。该漏洞影响多个MongoDB版本,攻击者可以通过发送特制的压缩数据包,诱使服务器解析时返回未初始化的堆内存。这些未初始化的内存区域可能包含敏感信息,如数据库凭据、用户数据等。漏洞评分8.7分,漏洞级别高危。
二、影响范围
8.2.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /8.2.28.0.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /8.0.167.0.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /7.0.276.0.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /6.0.265.0.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /5.0.314.4.0 <=/new_type/aqtg/20251229/ /MongoDB Server <=/new_type/aqtg/20251229/ /4.4.29MongoDB Server 4.2.x 所有版本MongoDB Server 4.0.x 所有版本MongoDB Server 3.6.x 所有版本
三、安全措施
3.1 升级版本
MongoDB Server 8.2.x >=/new_type/aqtg/20251229/ /8.2.3MongoDB Server 8.0.x >=/new_type/aqtg/20251229/ /8.0.17MongoDB Server 7.0.x >=/new_type/aqtg/20251229/ /7.0.28MongoDB Server 6.0.x >=/new_type/aqtg/20251229/ /6.0.27MongoDB Server 5.0.x >=/new_type/aqtg/20251229/ /5.0.32MongoDB Server 4.4.x >=/new_type/aqtg/20251229/ /4.4.30
下载链接:https://github.com/mongodb/mongo/tags/
3.2 临时措施
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://jira.mongodb.org/browse/SERVER-115508/https://nvd.nist.gov/vuln/detail/CVE-2025-14847
京公网安备11010802024551号