MongoDB 漏洞 CVE-2025-14847 正遭全球活跃利用

近期披露的一个 MongoDB 安全漏洞正在野外遭到活跃利用，全球已发现超过 87,000 个可能易受攻击的实例。

该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），允许未经身份验证的攻击者远程泄露 MongoDB 服务器内存中的敏感数据。它被命名为 MongoBleed。

“zlib 压缩中的一个缺陷使得攻击者能够触发信息泄露，“OX Security 表示。“通过发送畸形的网络数据包，攻击者可以提取私有数据的片段。”

问题根源在于 MongoDB 服务器的 zlib 消息解压缩实现（“message_compressor_zlib.cpp”）。它影响到启用了 zlib 压缩的实例，而这是默认配置。成功利用此缺陷可能允许攻击者从 MongoDB 服务器提取敏感信息，包括用户信息、密码和 API 密钥。

“虽然攻击者可能需要发送大量请求才能收集完整的数据库，并且有些数据可能没有意义，但攻击者拥有的时间越多，能收集到的信息就越多，“OX Security 补充道。

云安全公司 Wiz 表示，CVE-2025-14847 源于基于 zlib 的网络消息解压缩逻辑中的一个缺陷，使得未经身份验证的攻击者能够发送畸形的压缩网络数据包来触发漏洞，并在没有有效凭据或用户交互的情况下访问未初始化的堆内存。

“受影响的逻辑返回的是分配的缓冲区大小（output.length()），而不是实际解压缩数据的长度，这使得大小不足或畸形的有效载荷能够暴露相邻的堆内存，“安全研究人员 Merav Bar 和 Amitai Cohen 表示。“由于该漏洞在身份验证之前即可触及，并且不需要用户交互，因此暴露在互联网上的 MongoDB 服务器面临的风险尤其大。”

来自攻击面管理公司 Censys 的数据显示，存在超过 87,000 个可能易受攻击的实例，其中大部分位于美国、中国、德国、印度和法国。Wiz 指出，42% 的云环境中至少有一个 MongoDB 实例运行在易受 CVE-2025-14847 攻击的版本上。这包括暴露在互联网上的资源和内部资源。

目前尚不清楚利用该漏洞进行攻击的具体细节。建议用户更新到 MongoDB 版本 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30。MongoDB Atlas 的补丁已应用。值得注意的是，该漏洞也影响 Ubuntu rsync 包，因为它使用了 zlib。

作为临时解决方法，建议在 MongoDB 服务器上禁用 zlib 压缩，方法是使用 networkMessageCompressors 或 net.compression.compressors 选项启动 mongod 或 mongos，并明确排除 zlib。其他缓解措施包括限制 MongoDB 服务器的网络暴露，以及监控 MongoDB 日志中是否存在异常的身份验证前连接。