首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】MongoDB zlib 压缩内存泄露漏洞(CVE-2025-14847)

发布时间 2025-12-29

一、漏洞概述


漏洞名称

MongoDB zlib 压缩内存泄露漏洞

CVE   ID

CVE-2025-14847

漏洞类型

信息泄露

发现时间

2025-12-29

漏洞评分

8.7

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


MongoDB是一个开源的NoSQL数据库管理系统,采用文档导向存储方式,以BSON(类似JSON)格式存储数据。它具有高扩展性、灵活的模式设计和优秀的性能,特别适用于处理大规模数据和动态变化的应用场景。MongoDB支持水平扩展,通过分片技术实现数据分布,适用于大数据分析、实时数据处理等领域。其灵活的数据结构使其能够高效处理复杂的查询和多样化的应用需求。


2025年12月29日,启明星辰集团VSRC监测到MongoDB Server中的一个高危漏洞,源于zlib压缩协议头的处理不当,攻击者可利用该漏洞在无需认证的情况下触发远程内存泄露。该漏洞影响多个MongoDB版本,攻击者可以通过发送特制的压缩数据包,诱使服务器解析时返回未初始化的堆内存。这些未初始化的内存区域可能包含敏感信息,如数据库凭据、用户数据等。漏洞评分8.7分,漏洞级别高危。


二、影响范围


8.2.0 <= MongoDB Server <= 8.2.2
8.0.0 <= MongoDB Server <= 8.0.16
7.0.0 <= MongoDB Server <= 7.0.27
6.0.0 <= MongoDB Server <= 6.0.26
5.0.0 <= MongoDB Server <= 5.0.31
4.4.0 <= MongoDB Server <= 4.4.29
MongoDB Server 4.2.x 所有版本
MongoDB Server 4.0.x 所有版本
MongoDB Server 3.6.x 所有版本


三、安全措施


3.1 升级版本


官方已发布修复补丁,以修复该漏洞。
MongoDB Server 8.2.x >= 8.2.3
MongoDB Server 8.0.x >= 8.0.17
MongoDB Server 7.0.x >= 7.0.28
MongoDB Server 6.0.x >= 6.0.27
MongoDB Server 5.0.x >= 5.0.32
MongoDB Server 4.4.x >= 4.4.30


下载链接:https://github.com/mongodb/mongo/tags/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://jira.mongodb.org/browse/SERVER-115508/
https://nvd.nist.gov/vuln/detail/CVE-2025-14847
上一篇 下一篇