MongoDB数据库出现高危安全漏洞 无需身份验证即可执行任意代码
流行的非关系型数据库管理系统 MongoDB 出现高危安全漏洞,允许未经身份验证的攻击者执行任意代码甚至控制目标设备。该漏洞影响 MongoDB 和 MongoDB Server,目前开发团队已经发布新版本进行修复,使用该数据库的企业应当立即升级新版本。
流行的非关系型数据库管理系统 MongoDB 日前出现高危安全漏洞,在漏洞披露前 MongoDB 已经发布新版本进行修复,所以使用 MongoDB 及 MongoDB Server 的开发者或企业应当立即升级到新版本。
该漏洞编号为 CVE-2025-14847,影响多个 MongoDB 和 MongoDB Server 版,漏洞原因是对长度参数不一致的处理不当造成,这可能允许未经身份验证的攻击者执行任意代码并接管目标设备。
MongoDB 安全团队称,客户端可以利用服务器端 zlib 实现的漏洞在无需向服务器进行身份验证的情况下返回未初始化的堆内存,强烈建议尽快升级到已修复的版本。
为了立即修复漏洞并阻止潜在的攻击,MongoDB 建议立即升级到以下不受影响的版本:
以下是所有受影响的版本:
如果暂时无法立即升级:
如果暂时无法升级到新版本修复漏洞,变通措施是在启动 mongod 或 mongos 时,使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib,这样可以禁用服务器上 zlib 压缩。
via MongoDB
该漏洞编号为 CVE-2025-14847,影响多个 MongoDB 和 MongoDB Server 版,漏洞原因是对长度参数不一致的处理不当造成,这可能允许未经身份验证的攻击者执行任意代码并接管目标设备。
MongoDB 安全团队称,客户端可以利用服务器端 zlib 实现的漏洞在无需向服务器进行身份验证的情况下返回未初始化的堆内存,强烈建议尽快升级到已修复的版本。
为了立即修复漏洞并阻止潜在的攻击,MongoDB 建议立即升级到以下不受影响的版本:
以下是所有受影响的版本:
如果暂时无法立即升级:
如果暂时无法升级到新版本修复漏洞,变通措施是在启动 mongod 或 mongos 时,使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib,这样可以禁用服务器上 zlib 压缩。
via MongoDB
关于作者
评论0次