MongoDB 披露严重安全漏洞 MongoBleed,涉及多版本未授权信息泄露
MongoDB 披露编号为 CVE-2025-14847 的高危安全漏洞,社区将其称为「MongoBleed」。该漏洞存在于 MongoDB Server 的 zlib 压缩消息解压缩处理逻辑中,允许未经验证的远程攻击者通过发送特制的恶意压缩包,诱导服务器返回未初始化的堆内存数据。由于该漏洞触发于身份验证之前,且无需任何用户交互,攻击者可借此窃取驻留在内存中的数据库凭据、应用令牌、WiredTiger 引擎配置及内部日志等敏感信息。
受影响版本范围广泛,包括已停止支持的 3.6、4.0、4.2 全系版本,以及 4.4.0–4.4.29、5.0.0–5.0.31、6.0.0–6.0.26、7.0.0–7.0.27、8.0.0–8.0.16 和 8.2.0–8.2.2。目前已出现公开的概念验证(PoC)代码及在野利用活动。
MongoDB 官方建议自建用户立即升级至 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30 及以上修复版本;若短期无法升级,应在配置中通过 networkMessageCompressors 显式移除 zlib 以缓解风险。
(综合媒体报道)
MongoDB 披露编号为 CVE-2025-14847 的高危安全漏洞,社区将其称为「MongoBleed」。该漏洞存在于 MongoDB Server 的 zlib 压缩消息解压缩处理逻辑中,允许未经验证的远程攻击者通过发送特制的恶意压缩包,诱导服务器返回未初始化的堆内存数据。由于该漏洞触发于身份验证之前,且无需任何用户交互,攻击者可借此窃取驻留在内存中的数据库凭据、应用令牌、WiredTiger 引擎配置及内部日志等敏感信息。
受影响版本范围广泛,包括已停止支持的 3.6、4.0、4.2 全系版本,以及 4.4.0–4.4.29、5.0.0–5.0.31、6.0.0–6.0.26、7.0.0–7.0.27、8.0.0–8.0.16 和 8.2.0–8.2.2。目前已出现公开的概念验证(PoC)代码及在野利用活动。
MongoDB 官方建议自建用户立即升级至 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30 及以上修复版本;若短期无法升级,应在配置中通过 networkMessageCompressors 显式移除 zlib 以缓解风险。
(综合媒体报道)
