网络安全界正面临NoSQL时代的“心脏滴血”时刻。世界上最流行的非关系型数据库MongoDB中的一个严重漏洞正在野外被积极利用，允许未经身份验证的攻击者直接从服务器进程“滴出”敏感内存。

该漏洞被命名为“MongoBleed”，追踪编号为CVE-2025-14847，它代表了MongoDB处理压缩数据方式的一次灾难性失效。根据最早就主动利用行为发出警报的Wiz研究人员称，该漏洞允许攻击者远程读取服务器内存片段——可能暴露凭证、会话令牌以及数据库本应保护的数据本身——而完全不需要密码。

漏洞泄漏机制

MongoBleed的核心是一个经典的安全失效——越界读取。该漏洞存在于MongoDB在其线协议中实现的’zlib’压缩库中。

当客户端与MongoDB服务器通信时，可以使用压缩来节省带宽。OX Security的安全研究人员指出，通过发送一个特制的、畸形的压缩消息，攻击者可以欺骗服务器读取超出已分配缓冲区的数据。由于服务器未能正确验证解压数据的长度与实际缓冲区大小，它会回应发送出恰好在相邻内存中的任何内容。

这是2014年OpenSSL中心脏滴血漏洞的回响。与其前身类似，MongoBleed不需要攻击者从“前门”闯入；相反，它允许他们坐在外部，反复向服务器索取其内部内存的“碎片”，直到他们重建足够的数据来发动全面入侵。

野外利用

形势迅速从理论风险升级为现实危机。Wiz报告称，他们的全球传感器网络几乎在技术细节开始流传后，就立即检测到了针对该漏洞的自动化扫描器和利用尝试。

来自Elastic Security的网络安全研究员Joe Desimone也发布了一个概念验证漏洞利用程序，展示了如何使用MongoBleed漏洞泄漏与MongoDB内部日志和状态、WiredTiger存储引擎配置、系统/proc数据（meminfo，网络统计信息）、Docker容器路径以及连接UUID和客户端IP相关的数据。

这种威胁尤其严峻，因为MongoDB通常是现代Web应用的支柱，存储着从用户个人身份信息到敏感财务记录的一切。MongoDB拥有非常庞大的部署规模，有超过20万个面向互联网的实例。

Wiz团队在其分析中指出，利用的简便性加上身份验证的缺失，为攻击者创造了完美的风暴。在许多情况下，攻击者只需一次成功的“滴血”就能捕获管理会话令牌，从而获得对整个数据库集群的完全控制。

澳大利亚网络安全中心也发布了一份紧急公告，警告组织该漏洞影响了极其广泛的版本，从遗留的4.4安装版到最新的8.0版本。

对于防御者而言，挑战在于这类内存泄漏攻击是出了名的“安静”。因为它们发生在协议层面，不涉及传统的“登录”事件，所以常常绕过标准的应用层日志。

安全研究员Kevin Beaumont也重申了这一点。“由于现在利用此漏洞变得如此简单——门槛已被移除——预计将出现大规模利用和相关安全事件的高可能性，”Beaumont在他的个人博客中写道。“漏洞利用作者没有提供如何通过像Elastic这样的产品在日志中检测利用的细节。建议是保持冷静并修补面向互联网的资产。”

修补竞赛

MongoDB团队迅速采取了行动发布补丁，但MongoDB庞大的安装基数使得全球修复成为一项艰巨的任务。以下版本已被确定为已修补且安全：

• MongoDB 8.0.4
• MongoDB 7.0.16
• MongoDB 6.0.19
• MongoDB 5.0.31

对于无法立即修补的组织，专家建议一个“终极”临时解决方案：禁用zlib压缩。虽然这可能会导致轻微的性能损失和带宽使用增加，但它能有效关闭MongoBleed使用的攻击途径。

航空业、政府机构以及科技巨头们现在都在与时间进行疯狂赛跑。随着自动化漏洞利用工具包已在暗网论坛上流传，修补的窗口期正在关闭。对于任何运行MongoDB的人来说，行动的时刻本应是昨天。