U.S. CISA adds a flaw in MongoDB Server to its Known Exploited Vulnerabilities catalog

Pierluigi Paganini December 30, 2025

美国网络安全和基础设施安全局（CISA）将MongoDB服务器的一个漏洞添加到其已知可利用漏洞（KEV）目录中。

美国网络安全和基础设施安全局（CISA）将一个MongoDB服务器漏洞（编号为CVE-2025-14847，CVSS评分为8.7）添加到了其已知可利用漏洞（KEV）目录。

近期披露的MongoDB漏洞CVE-2025-14847（又称MongoBleed）正被积极利用，全球已识别出超过87,000个潜在易受攻击的实例。

网络安全研究员Joe Desimone发布了该漏洞的概念验证利用代码，该漏洞允许未经身份验证的攻击者泄露敏感的服务器内存。

根据Censys的数据，大部分潜在易受攻击的实例位于美国、中国、德国和印度。

网络安全公司Wiz发布的报告中写道：“自2025年12月26日起，已有公开可用的有效漏洞利用程序，随后不久即报告了在野利用的初步情况。”

目前，攻击细节尚不清楚。

来源 Censys

MongoDB是一种流行的开源NoSQL数据库，用于以灵活的、基于文档的格式存储和管理数据。与传统的SQL数据库使用表和行不同，MongoDB将数据存储为类似JSON的文档（称为BSON）。这使得它非常适合需要可扩展性、高性能和灵活数据模型的现代应用程序。

漏洞CVE-2025-14847可能允许未经身份验证的远程攻击者在易受攻击的服务器上执行任意代码。

公告中写道：“对服务器zlib实现的客户端攻击可以在不向服务器进行身份验证的情况下返回未初始化的堆内存。我们强烈建议尽快升级到已修复的版本。”

该问题源于默认启用的zlib消息解压缩功能，它允许未经身份验证的攻击者在网络层面从MongoDB服务器泄露数据。该漏洞影响公开暴露的实例和可访问的私有服务器。利用此漏洞可逐步提取敏感数据，如用户详细信息、密码和API密钥。

此漏洞影响以下MongoDB版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有MongoDB Server v4.2 版本
• 所有MongoDB Server v4.0 版本
• 所有MongoDB Server v3.6 版本

版本 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 和 4.4.30 已修复该问题。

用户应立即升级，如果无法升级，则需通过配置压缩选项排除zlib来在MongoDB上禁用zlib压缩。

公告继续说道：“我们强烈建议您立即升级。如果无法立即升级，请通过在启动mongod或mongos时使用明确省略zlib的networkMessageCompressors或net.compression.compressors选项来禁用MongoDB服务器上的zlib压缩。例如，安全的选项值包括snappy,zstd或disabled。”

根据第22-01号约束性操作指令（BOD）：降低已知可利用漏洞的重大风险，联邦文职行政部门（FCEB）机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营机构审查该目录并解决其基础设施中的漏洞。

CISA命令联邦机构在2026年1月19日之前修复这些漏洞。

在Twitter、Facebook和Mastodon上关注我：@securityaffairs

Pierluigi Paganini （SecurityAffairs – 黑客攻击，CISA）