安全公告 NCSC-2025-0402 [1.0.0]

发布日期 2025年12月27日 12:38（欧洲/阿姆斯特丹） 优先级 常规 涉及范围 MongoDB 中已修复的漏洞

特征 不当的长度参数不一致处理

描述 MongoDB 的开发人员已修复 MongoDB 中的一个漏洞。 该漏洞（CVE-2025-14847）使得未经身份验证的远程攻击者能够读取未初始化的堆内存。其根源在于 Zlib 压缩协议头中的长度参数处理不当。利用此漏洞可能导致堆内存中的敏感信息泄露，攻击者可利用这些信息对系统发起进一步攻击。 研究人员已发布了一个利用程序，可用于利用 CVE-2025-14847。NCSC 预计短期内该漏洞将被主动利用。

解决方案 MongoDB 的开发人员已发布更新以修复此漏洞，受影响的版本包括：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30。 如果无法立即更新，开发人员建议采取缓解措施，即禁用 zlib 压缩并使用替代的压缩算法，如 snappy 或 zstd。有关更多信息，请参阅所附参考资料。

参考资料

• https://jira.mongodb.org/browse/SERVER-115508
• https://nvd.nist.gov/vuln/detail/CVE-2025-14847

CVE 编号 CVE-2025-14847 - CVSS (v4) 8.7

受影响产品

• MongoDB

免责声明 荷兰国家网络安全中心（以下简称：NCSC-NL）维护此页面是为了便于访问其信息和安全公告。本安全公告的使用须遵守以下条款和条件：

1. NCSC-NL 尽一切合理努力确保本页面内容的及时更新、准确性和完整性。尽管如此，NCSC-NL 不能完全排除错误的可能性，因此无法就其完整性、准确性或持续更新做出任何保证。本安全公告中包含的信息仅供为专业用户提供一般信息之用。不得从所提供的信息中衍生出任何权利。
2. NCSC-NL 及荷兰王国对本安全公告的使用或无法使用所造成的任何损害不承担任何法律责任或义务。这包括因公告信息不准确或不完整而造成的损害。
3. 本安全公告受荷兰法律管辖。所有与使用本公告相关或因使用本公告而产生的争议，将提交给海牙有管辖权的法院。此法院选择条款也适用于简易程序法院。