网安资讯详情 - SecLens 情报雷达

网安资讯,一网打尽。汇集权威漏洞通告与行业要闻,结合分组浏览、智能过滤、RSS订阅 和 Webhook 推送,多通道拓展您的安全情报视野。

MongoDB 未授权内存泄露漏洞

来源: chaitin_vuldb · 发布时间 2025-12-19 08:00 (UTC+08:00) · 抓取时间 2026-06-04 11:45 (UTC+08:00)

原文链接

摘要

MongoDB 是一款基于 C++ 开发的开源 NoSQL 数据库系统,广泛应用于现代 Web 应用程序,提供高性能、高可用性和自动扩展等功能。 2025年12月,长亭安全应急响应中心监测到 MongoDB 存在未授权内存泄露漏洞(CVE-2025-14847)。经分析,未经身份验证的攻击者可利用该漏洞远程读取服务器内存中的敏感数据,无需任何认证即可发起攻击,利用难度较低,建议受影响的用户尽快修复。

正文

Impact: 内存安全漏洞可能导致严重的后果,包括但不限于: 1. 敏感信息泄露,如用户数据、密码、密钥等; 2. 未授权的代码执行,可能导致系统被攻陷或数据被篡改; 3. 服务中断,影响正常用户的访问和使用; 4. 系统稳定性和可靠性下降,可能导致频繁的崩溃或错误。 Mitigation: ### 主要修复方案:升级 MongoDB 官方推荐的修复方式是将 MongoDB **升级到已修复版本**: | 分支 | 修复版本 | |------|----------| | 8.2 | **8.2.3** | | 8.0 | **8.0.17** | | 7.0 | **7.0.28** | | 6.0 | **6.0.27** | | 5.0 | **5.0.32** | | 4.4 | **4.4.30** | > 4.2、4.0、3.6 等更老的分支已停止维护(EOL),强烈建议升级到受支持的版本。 --- ### 临时缓解方案(无法立即升级时) **禁用 zlib 网络压缩**,改用 `snappy` 或 `zstd`。 #### 方法 1:修改配置文件 `mongod.conf` 或 `mongos.conf` ```yaml net: compression: compressors: snappy,zstd ``` 修改后重启 MongoDB 服务。 #### 方法 2:命令行参数启动 ```bash mongod --networkMessageCompressors snappy,zstd ``` #### 方法 3:Linux systemd 覆盖配置 ```bash systemctl edit mongod ``` 添加如下内容: ``` [Service] ExecStart=/usr/bin/mongod --config /etc/mongod.conf --networkMessageCompressors snappy,zstd ``` 然后执行: ```bash systemctl daemon-reload systemctl restart mongod ``` #### 方法 4:Windows 服务注册表 编辑 `HKLM\SYSTEM\CurrentControlSet\Services\MongoDB\ImagePath`,在启动参数中添加 `--networkMessageCompressors snappy,zstd` 后重启服务。 --- ### 验证方法 连接到 MongoDB 并执行: ```javascript db.serverStatus().network.compression ``` 确认 `zlib` 不再出现在活跃压缩器列表中。 --- > **重要提醒**:禁用 zlib 仅是临时缓解措施,**强烈建议尽快升级到官方修复版本**以获得彻底保护。

标签

扩展字段

{
  "cnnvd_id": "CNNVD-202512-3766",
  "cnvd_id": null,
  "cve_id": "CVE-2025-14847",
  "cvss3": {
    "A": "N",
    "AC": "L",
    "AV": "N",
    "C": "H",
    "I": "N",
    "MA": "N",
    "MAC": "L",
    "MAV": "N",
    "MC": "H",
    "MI": "N",
    "MPR": "N",
    "MS": "U",
    "MUI": "N",
    "PR": "N",
    "S": "U",
    "UI": "N"
  },
  "raw_updated_at": "2026-04-28T16:40:45.354198+08:00",
  "references": "http://www.openwall.com/lists/oss-security/2025/12/29/21\nhttps://jira.mongodb.org/browse/SERVER-115508\nhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-14847\nhttps://www.smartkeyss.com/post/mongobleed-pre-auth-memory-disclosure-via-op_compressed-in-mongodb-cve-2025-14847\nhttps://www.vicarius.io/vsociety/posts/cve-2025-14847-detection-script-heap-memory-exposure-in-mongodb-server\nhttps://www.vicarius.io/vsociety/posts/cve-2025-14847-mitigation-script-heap-memory-exposure-in-mongodb-server",
  "severity": "high",
  "vuln_id": "b5c678e3-98fc-4cfe-a69a-736438e6ff0f"
}