CVE-2025-14847漏洞环境与概念验证

项目地址： GitHub - vfa-tuannt/CVE-2025-14847

概述 这是一个用于演示CVE-2025-14847漏洞的环境，附带概念验证（PoC）代码。 官方问题追踪链接：https://jira.mongodb.org/browse/SERVER-115508

摘要 这是针对CVE-2025-14847的关键修复。请升级到8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30版本。

问题描述与影响 攻击者可以利用服务器端的zlib实现漏洞，在不经过服务器身份验证的情况下，返回未初始化的堆内存。我们强烈建议尽快升级到已修复的版本。

此漏洞影响以下MongoDB版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有MongoDB Server v4.2版本
• 所有MongoDB Server v4.0版本
• 所有MongoDB Server v3.6版本

临时解决方案 我们强烈建议立即升级。 如果无法立即升级，请通过在启动mongod或mongos时使用明确排除zlib的networkMessageCompressors或net.compression.compressors选项来禁用MongoDB服务器上的zlib压缩。例如，安全的设置值包括snappy,zstd或disabled。

修复方案 升级到MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 或 4.4.30。

参考链接

• https://jira.mongodb.org/browse/SERVER-115508
• https://github.com/mongodb/mongo/commit/1264f9be5165abb0981f8023d2495652ab916699#diff-fd797e63d8e20a16cf0adcb6b5542f2124de9bf6f3afa913ba8d09d3022b11ac
• https://github.com/mongodb/mongo/blob/1264f9be5165abb0981f8023d2495652ab916699/src/mongo/transport/message_compressor_manager_test.cpp

注意：

• 此仓库包含AI生成的内容。
• 本项目改编自 https://github.com/ProbiusOfficial/CVE-2025-14847
• 有关修复的详细说明，请阅读HOW_TO_FIX.md文件。