U.S. CISA adds a flaw in MongoDB Server to its Known Exploited Vulnerabilities catalog

Pierluigi Paganini December 30, 2025

美国网络安全和基础设施安全局(CISA)将一个MongoDB Server漏洞添加至其已知被利用漏洞(KEV)目录。

美国网络安全和基础设施安全局(CISA)将一个MongoDB Server漏洞，编号为CVE-2025-14847(CVSS评分为8.7)，添加至其已知被利用漏洞(KEV)目录。

近期披露的MongoDB漏洞CVE-2025-14847（亦称MongoBleed）正被积极利用，全球已识别出超过87，000个可能易受攻击的实例。

网络安全研究员Joe Desimone发布了一个针对此漏洞的概念验证利用代码，允许未经身份验证的攻击者泄露服务器敏感内存。

根据Censys的数据，大部分可能易受攻击的实例位于美国、中国、德国和印度。

“自2025年12月26日起，已有一个可用的公开利用代码，随后不久就报告了在野利用的初步情况。“网络安全公司Wiz发布的报告中写道。

目前，攻击细节尚不清楚。 来源：Censys

MongoDB是一个流行的开源NoSQL数据库，用于以灵活的、基于文档的格式存储和管理数据。

与传统SQL数据库使用表和行不同，MongoDB将数据存储为类似JSON的文档（称为BSON）。这使其非常适合需要可扩展性、高性能和灵活数据模型的现代应用程序。

漏洞CVE-2025-14847可允许未经身份验证的远程攻击者在易受攻击的服务器上执行任意代码。

“对服务器zlib实现的客户端利用可以返回未初始化的堆内存，而无需向服务器进行身份验证。我们强烈建议尽快升级到修复版本。” 公告中写道。

该问题源于zlib消息解压缩（默认启用），允许未经身份验证的攻击者在网络层面从MongoDB服务器泄露数据。该漏洞影响公开暴露的实例以及可访问的私有服务器。利用该漏洞可能导致逐步提取敏感数据，如用户详细信息、密码和API密钥。

此漏洞影响以下MongoDB版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有 MongoDB Server v4.2 版本
• 所有 MongoDB Server v4.0 版本
• 所有 MongoDB Server v3.6 版本

版本 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 和 4.4.30 已修复此问题。

用户应立即升级，若无法立即升级，则需通过配置压缩选项排除zlib来禁用MongoDB上的zlib压缩。

“我们强烈建议您立即升级。” 公告继续写道。“如果无法立即升级，请通过启动 mongod 或 mongos 时使用明确排除 zlib 的 networkMessageCompressors 或 net.compression.compressors 选项来禁用MongoDB Server上的zlib压缩。示例安全值包括 snappy,zstd 或 disabled。”

根据第22-01号约束性操作指令(BOD)：降低已知被利用漏洞的重大风险，联邦文职行政部门(FCEB)机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营组织审查目录并解决其基础设施中的漏洞。

CISA命令联邦机构在2026年1月19日之前修复这些漏洞。

在Twitter上关注我：@securityaffairs 以及 Facebook 和 Mastodon

Pierluigi Paganini (SecurityAffairs – hacking, CISA)