漏洞详情

安全公告

• CVE ID: CVE-2025-12119
• GHSA ID: GHSA-mwcc-7vpp-xmv9
• 严重程度: 中危 (CVSS 4.0 得分：6.9)
• 发布日期: 2025年11月19日（至GitHub Advisory Database）
• NVD发布日期: 2025年11月18日
• 更新日期: 2025年11月19日

影响范围

• 受影响的软件包: mongodb/mongodb-extension (Composer)
• 受影响的版本: < 1.21.2
• 已修复的版本: 1.21.2

漏洞描述

当向 mongoc_bulk_operation_t 传递大型参数时，可能导致读取无效内存。

参考链接

• NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-12119
• MongoDB C驱动修复版本:
  • https://github.com/mongodb/mongo-c-driver/releases/tag/1.30.6
  • https://github.com/mongodb/mongo-c-driver/releases/tag/2.1.2
• MongoDB PHP驱动修复版本: https://github.com/mongodb/mongo-php-driver/releases/tag/1.21.2
• 具体修复提交: mongodb/mongo-php-driver@fa5b433
• MongoDB JIRA工单: https://jira.mongodb.org/browse/PHPC-2637

技术分析

漏洞评分 (CVSS v4)

整体评分: 6.9/10 (中危)

可利用性指标

• 攻击向量: 本地
• 攻击复杂度: 低
• 攻击前提: 无
• 所需权限: 低
• 用户交互: 无

受影响系统的影响指标

• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 低

后续系统的影响指标

• 机密性影响: 无
• 完整性影响: 无
• 可用性影响: 无

漏洞利用预测评分系统 (EPSS)

• 分数: 0.005%
• 百分位: 第0百分位
• 说明: 此分数估计该漏洞在未来30天内被利用的概率。

相关弱点 (CWE)

• CWE-825: 过期指针解引用
• 描述: 产品解引用了一个指针，该指针指向一个先前有效但现已无效的内存位置。

总结

该漏洞涉及MongoDB PHP驱动扩展底层C库中的内存安全问题。当使用批量操作接口并传递异常大的选项参数时，可能导致程序访问已释放或无效的内存区域，可能引发程序崩溃或信息泄露。建议所有使用受影响版本 mongodb/mongodb-extension 的用户立即升级至修复版本 1.21.2。