IT之家 12 月 28 日消息,NoSQL 数据库管理系统 MongoDB 最近出现高危漏洞,目前官方已经发布新版本进行修复,使用 MongoDB、MongoDB Server 的开发者或 IT 管理员应立即升级到最新版本。
结合 aikido 网安数据库昨天更新,该漏洞被标记为 CVE-2025-14847(IT之家注:代号“MongoBleed”),可让未经身份验证的网络攻击者侵入服务器,提取未初始化的内存片段。如果服务器开启了网络访问并启用 zlib 压缩,那黑客就不需要任何凭据即可启用漏洞。
同时,由于该漏洞可在消息解压阶段、身份验证前触发,因此黑客可以在入侵的服务器中执行任意代码。
本次漏洞的影响范围相当广泛,涵盖 8.2.0-8.2.3 版、8.0.0-8.0.16 版、7.0.0-7.0.26 版、6.0.0-6.0.26 版、5.0.0-5.0.31 版、4.4.0-4.4.29 版 MongoDB;同时 4.2 版、4.0 版,以及 3.6 版 MongoDB Server 也受到对应影响。
MongoDB 目前已发布修复补丁,官方强烈建议用户升级至以下修复版本:
8.2.3
8.0.17
7.0.28
6.0.27
5.0.32
4.4.30
如果管理员暂时无法将 MongoDB 更新到最新版本,也可以使用以下临时缓解措施来降低影响:
禁用 zlib 压缩,改用 snappy、zstd 或不启用压缩
通过防火墙、安全组或 Kubernetes NetworkPolicy 限制 MongoDB 访问网络
移除任何不必要的公网暴露
