新MongoDB漏洞允许未经身份验证的攻击者读取未初始化内存

严重程度：高 类型：漏洞

在MongoDB中披露了一个高严重性的安全缺陷，可能允许未经身份验证的用户读取未初始化的堆内存。该漏洞被追踪为CVE-2025-14847（CVSS评分：8.7），被描述为长度参数不一致处理不当的情况，当程序未能正确处理长度字段与实际数据长度不匹配的场景时，就会发生这种情况。

技术总结 所披露的MongoDB漏洞CVE-2025-14847源于对zlib压缩协议头中长度参数不一致的处理不当。具体来说，当协议头中的长度字段与实际数据长度不匹配时，MongoDB服务器可能会向未经身份验证的客户端返回未初始化的堆内存。这些未初始化的内存可能包含敏感信息，例如内部状态数据、指针或服务器堆中的其他残留数据，攻击者可以利用这些信息了解服务器的内存布局或促进进一步的利用。该缺陷影响广泛的MongoDB版本，包括从3.6到8.2.3的所有版本，使其成为一个广泛关注的问题。MongoDB已在最近的补丁版本中解决了此问题，但在系统更新之前，该漏洞仍然可被利用。攻击向量不需要身份验证或用户交互，从而增加了风险状况。该漏洞根源于服务器的zlib压缩实现；因此，禁用zlib压缩并切换到替代的压缩器（如snappy或zstd）可以作为一种临时的缓解措施。鉴于MongoDB在企业级和云环境中的广泛使用，此漏洞可能会暴露敏感数据和内部服务器信息，破坏机密性并可能促成进一步的攻击。

潜在影响 对于欧洲组织而言，此漏洞对MongoDB数据库管理的数据的机密性和完整性构成了重大风险。许多企业，包括欧洲各地的金融机构、医疗保健提供商和政府机构，都依赖MongoDB进行关键的数据存储和处理。未初始化的堆内存的未授权泄露可能会泄漏敏感信息，例如加密密钥、用户数据或内部服务器状态，可能导致数据泄露或促进网络内的权限升级和横向移动。该漏洞利用无需身份验证的特性意味着攻击者可以在没有凭证的情况下远程探测易受攻击的服务器，从而增加了暴露风险。此外，如果攻击者利用泄露的信息进行进一步利用，此漏洞可能会破坏对数据完整性和可用性的信任。鉴于受影响MongoDB版本的广泛部署，威胁面是广泛的，未能修补或缓解的组织可能因数据保护不充分而面临GDPR下的监管后果。

缓解建议 组织应优先立即将MongoDB服务器修补到以下已修复的版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30，具体取决于其当前版本。如果无法立即执行修补，请通过配置MongoDB服务器启动参数，将zlib从networkMessageCompressors或net.compression.compressors选项中排除，从而禁用zlib压缩，切换到受支持的替代方案，如snappy或zstd。进行彻底的审计，以识别所有MongoDB实例，包括开发和云环境中的实例，确保没有易受攻击的服务器暴露在外。实施网络级控制，以限制从未受信任网络访问MongoDB端口，使用防火墙规则和VPN。监控MongoDB服务器日志中是否存在可能指示利用尝试的异常或未经身份验证的访问尝试。最后，审查并增强静态和传输中的数据加密，并考虑实施额外的应用层保护，以在内存泄露情况下最小化数据暴露。

受影响国家 德国、法国、英国、荷兰、意大利、西班牙、瑞典、波兰、比利时、瑞士