CVE-2025-14847 漏洞

通过Mezo在漏洞

翻译为：

最新披露的 MongoDB 漏洞正被积极用于实际攻击，使全球数万个数据库实例面临风险。安全研究人员已发现超过 87,000 个可能存在漏洞的 MongoDB 部署，这使得该问题对在生产环境中依赖 MongoDB 的组织构成重大威胁。

该漏洞编号为 CVE-2025-14847，CVSS 评分为 8.7，严重性极高，代号为 MongoBleed。它允许未经身份验证的远程攻击者直接从 MongoDB 服务器内存中泄露敏感数据，而无需有效的凭据或用户交互。

该漏洞可在身份验证之前被利用，这大大增加了其风险，特别是对于暴露在互联网上的 MongoDB 服务器而言。

该漏洞源于 MongoDB 服务器基于 zlib 的消息解压缩逻辑中的一个缺陷，具体位于 message_compressor_zlib.cpp 组件中。MongoDB 默认启用 zlib 压缩，这意味着除非显式重新配置，否则许多部署都会受到影响。

攻击者可以通过发送格式错误的压缩网络数据包，利用解压缩数据长度处理不当的漏洞。受影响的逻辑不会返回解压缩内容的实际大小，而是返回已分配缓冲区的全部大小。这种错误可能会暴露未初始化的堆内存，使攻击者能够获取相邻敏感数据的片段。

成功利用漏洞可能导致存储在服务器内存中的高度敏感信息泄露，包括用户记录、密码和 API 密钥。虽然攻击者可能需要发送大量请求才能重建有意义的数据，而且一些泄露的数据片段可能无关紧要，但风险会随着时间的推移而加剧。攻击者保持访问权限的时间越长，潜在窃取的数据就越多。

云安全分析师证实，这种攻击不需要身份验证，也不需要用户交互，这使得面向互联网的 MongoDB 服务器特别容易受到攻击。

分析显示，受影响的 MongoDB 实例广泛分布于全球，尤其集中在美国、中国、德国、印度和法国。研究人员还报告称，42% 的云环境中至少包含一个运行存在 CVE-2025-14847 漏洞版本的 MongoDB 实例，这些实例既包括公开系统，也包括内部基础设施。

目前，主动攻击活动中使用的具体技术仍不清楚。

MongoDB 已在多个受支持的分支中发布了修复程序，MongoDB Atlas 也已应用了补丁。各组织应立即升级到以下安全版本之一：

MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30

值得注意的是，这个问题并非MongoDB独有。由于Ubuntu的rsync软件包也依赖于相同的zlib压缩库，因此该漏洞也会影响到它。

对于无法立即进行修补的环境，以下几种临时缓解措施可以显著降低风险：

通过在启动 mongod 或 mongos 时配置 networkMessageCompressors 或 net.compression.compressors 选项来禁用 zlib 压缩，从而排除 zlib。
通过限制对 MongoDB 服务器的访问并密切监控日志中可疑的预认证连接尝试，来降低网络暴露风险。

MongoBleed漏洞利用简便、无需身份验证且影响范围广，构成严重威胁。运行MongoDB的组织应将CVE-2025-14847视为高优先级修复项目，立即应用补丁，并尽可能消除不必要的网络暴露。

搜索