MongoDB 高危漏洞(CVE-2025-14847,代号“MongoBleed”)信息汇总
1. 漏洞核心信息
- 名称/编号:CVE-2025-14847(代号“MongoBleed”)
- 严重性:高危(可执行任意代码,无需身份验证)
- 危害机制:未经身份验证的攻击者可在特定条件下侵入服务器,提取未初始化内存片段,并在入侵后执行任意代码。
2. 触发条件
- 必备条件:
- 服务器开启网络访问(允许外部/内网连接);
- 启用zlib压缩功能(若未启用zlib,则漏洞无法被利用)。
- 攻击时机:漏洞在“消息解压阶段”触发,且在“身份验证前”生效,黑客无需凭据即可入侵。
3. 受影响版本范围
覆盖以下MongoDB版本(含Server端):
- 8.2.x系列:8.2.0-8.2.3
- 8.0.x系列:8.0.0-8.0.16
- 7.0.x系列:7.0.0-7.0.26
- 6.0.x系列:6.0.0-6.0.26
- 5.0.x系列:5.0.0-5.0.31
- 4.4.x系列:4.4.0-4.4.29
- 4.2.x、4.0.x、3.6.x系列:均受影响(需升级至最新版本)
4. 官方修复版本建议
MongoDB已发布以下修复版本,强烈建议立即升级:
- 8.2.3(修复8.2.0-8.2.3)
- 8.0.17(修复8.0.0-8.0.16)
- 7.0.28(修复7.0.0-7.0.26)
- 6.0.27(修复6.0.0-6.0.26)
- 5.0.32(修复5.0.0-5.0.31)
- 4.4.30(修复4.4.0-4.4.29)
5. 临时缓解措施(无法立即升级时)
若暂无法升级,可通过以下方式降低风险:
- 禁用zlib压缩:改用snappy、zstd或不启用压缩(需验证业务兼容性);
- 限制网络访问:通过防火墙、安全组或Kubernetes NetworkPolicy限制MongoDB的外部/公网访问;
- 移除公网暴露:关闭不必要的公网入口,仅保留内部通信所需端口。
6. 注意事项
- 漏洞触发需同时满足“网络访问开启+zlib压缩启用”,若服务器无公网暴露或未启用zlib,风险较低;
- 4.2、4.0、3.6版本未明确列出修复版本,建议尽快升级至对应系列的最新版本。
提示:高危漏洞需优先处理,尤其是满足触发条件的服务器,建议立即核查并执行升级或临时措施。
(信息来源:leyunetwork,2025年12月28日)
一站式数字化解决方案服务商 —— 专业提供软件开发、网站设计、APP 与小程序开发,搭载低费率支付通道,结合创意广告设计,助力企业全链路数字化升级。
- 使用本网站请联系客服
- 点击关注微信公众号:乐鱼网络
- 点击-在线客服