MongoDB 存在严重未经身份验证的漏洞,可通过 zlib 压缩泄露敏感数据
MongoDB 近日紧急披露并修复了一项 极为严重的安全漏洞。 由于漏洞影响范围横跨近十年的多个主流版本,且 无需登录即可被远程利用,这一问题迅速被安全圈定性为一次“基础设施级”的安全事件。该漏洞编号为 CVE-2025-14847,其危险性不在于“是否能删库”,而在于 攻击者可以在完全未认证的情况下,直接读取 MongoDB 服务器的进程内存。漏洞的根源,出现在 MongoDB 协议对 zlib 压缩数据 的处理逻辑中。
漏洞通报:MongoDB 严重安全漏洞 (CVE-2025-14847)
一个编号为 CVE-2025-14847 的严重安全漏洞已被披露。该漏洞允许攻击者在无需身份验证的情况下,从数据库服务器中提取未初始化的堆内存(Heap Memory)。
该缺陷存在于 MongoDB 的 zlib 压缩实现中,影响该数据库平台的多个版本。它使得针对 MongoDB 服务器 zlib 实现的客户端利用成为可能,从而可能暴露存储在未初始化堆内存中的敏感数据。
该缺陷之所以特别危险,是因为攻击者无需向服务器进行身份验证即可利用它,这大大降低了恶意攻击者的攻击门槛。暴露未初始化的堆内存可能导致信息泄露,潜在地泄露驻留在服务器内存中的敏感数据库内容、加密密钥或其他机密数据。
受影响的版本 该漏洞影响广泛,跨越了 MongoDB 的多个主要版本:
修复建议
1. 立即升级(推荐) MongoDB 强烈建议升级到以下已修复版本:
8.2.3
8.0.17
7.0.28
6.0.27
5.0.32
4.4.30
2. 临时缓解措施 对于无法立即升级的组织,MongoDB 建议采取以下临时方案:
禁用 zlib 压缩: 配置 mongod 或 mongos,在 networkMessageCompressors 或 net.compression.compressors 设置中移除 zlib。
替代方案: 使用安全的替代算法(如 Snappy 或 Zstd),或者彻底关闭压缩功能。
建议安全团队应立即优先修补 MongoDB 安装,以防止潜在的数据泄露。
关于作者
评论1次
旧版本 MongoDB 未授权验证漏洞 在2022年也出现过,这个攻击门槛也真是降低了。