CVE-2025-14847 漏洞

漏洞年Mezo年

翻譯為：

最新揭露的 MongoDB 漏洞正被積極用於實際攻擊，使全球數萬個資料庫實例面臨風險。安全研究人員已發現超過 87,000 個可能存在漏洞的 MongoDB 部署，這使得該問題對在生產環境中依賴 MongoDB 的組織構成重大威脅。

此漏洞編號為 CVE-2025-14847，CVSS 評分為 8.7，嚴重性極高，代號為 MongoBleed。它允許未經身份驗證的遠端攻擊者直接從 MongoDB 伺服器記憶體中洩露敏感數據，而無需有效的憑證或使用者互動。

該漏洞可在身份驗證之前被利用，這大大增加了其風險，特別是對於暴露在互聯網上的 MongoDB 伺服器。

這個漏洞源自於 MongoDB 伺服器基於 zlib 的訊息解壓縮邏輯中的一個缺陷，具體位於 message_compressor_zlib.cpp 元件中。 MongoDB 預設啟用 zlib 壓縮，這表示除非明確重新配置，否則許多部署都會受到影響。

攻擊者可以透過發送格式錯誤的壓縮網路封包，利用解壓縮資料長度處理不當的漏洞。受影響的邏輯不會傳回解壓縮內容的實際大小，而是傳回已指派緩衝區的全部大小。這種錯誤可能會暴露未初始化的堆內存，使攻擊者能夠獲取相鄰敏感資料的片段。

成功利用漏洞可能導致儲存在伺服器記憶體中的高度敏感資訊洩露，包括使用者記錄、密碼和 API 金鑰。雖然攻擊者可能需要發送大量請求才能重建有意義的數據，而且一些洩露的數據片段可能無關緊要，但風險會隨著時間的推移而加劇。攻擊者保持存取權限的時間越長，潛在竊取的資料就越多。

雲端安全分析師證實，這種攻擊不需要身份驗證，也不需要用戶交互，這使得面向互聯網的 MongoDB 伺服器特別容易受到攻擊。

分析顯示，受影響的 MongoDB 實例廣泛分佈於全球，尤其集中在美國、中國、德國、印度和法國。研究人員還報告稱，42% 的雲端環境中至少包含一個運行存在 CVE-2025-14847 漏洞版本的 MongoDB 實例，這些實例既包括公開系統，也包括內部基礎設施。

目前，主動攻擊活動中使用的具體技術仍不清楚。

MongoDB 已在多個受支援的分支中發布了修復程序，MongoDB Atlas 也已應用了補丁。各組織應立即升級至以下安全版本之一：

MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30

值得注意的是，這個問題並非MongoDB獨有。由於Ubuntu的rsync軟體包也依賴相同的zlib壓縮函式庫，因此該漏洞也會影響到它。

對於無法立即進行修補的環境，以下幾種臨時緩解措施可以顯著降低風險：

透過在啟動 mongod 或 mongos 時配置 networkMessageCompressors 或 net.compression.compressors 選項來停用 zlib 壓縮，從而排除 zlib。
透過限制對 MongoDB 伺服器的存取並密切監控日誌中可疑的預認證連線嘗試，來降低網路暴露風險。

MongoBleed漏洞利用簡單、無需驗證且影響範圍廣，構成嚴重威脅。運行MongoDB的組織應將CVE-2025-14847視為高優先級修復項目，立即套用補丁，並盡可能消除不必要的網路暴露。

搜索