大工网安告[2025049]

一、 情况分析

MongoDB 是一个开源的、 面向文档的 NoSQL 数据库， 以其高性能、 高可用性、 易扩展和灵活的 JSON-like 数据模型（BSON） 而著称。 它广泛应用于现代 Web 应用、 大数据、内容管理和实时分析等领域， 支持复杂的查询、 索引、 聚合和事务功能， 是众多企业和开发者在处理非结构化或半结构化数据时的首选数据库解决方案。

近日， 监测到 MongoDB Zlib 压缩协议堆内存信息泄露漏洞(CVE-2025-14847)PoC 公开， 该漏洞源于 Zlib 压缩协议头中的长度字段不匹配， 导致服务器端 Zlib 实现存在安全缺陷， 当未经身份验证的客户端发送精心构造的、 带有异常长度字段的压缩协议包时， 可以诱使服务器从其堆内存中读取并返回未经初始化的数据。 攻击者可以利用此漏洞， 获取服务器进程内存中包含的数据库凭证、 业务数据、 配置信息等敏感内容，从而破坏数据的机密性。 目前该漏洞 PoC 和技术细节已公开。

威胁类型：信息泄露。

技术类型：长度参数不一致处理不当。

危害描述：攻击者可以利用此漏洞， 获取服务器进程内存中包含的数据库凭证、 业务数据、 配置信息等敏感内容， 从而破坏数据的机密性。

二、 影响版本

8.2.0 <= MongoDB Server <= 8.2.2

8.0.0 <= MongoDB Server <= 8.0.16

7.0.0 <= MongoDB Server <= 7.0.27

6.0.0 <= MongoDB Server <= 6.0.26

5.0.0 <= MongoDB Server <= 5.0.31

4.4.0 <= MongoDB Server <= 4.4.29

MongoDB Server 4.2.* 所有版本

MongoDB Server 4.0.* 所有版本

MongoDB Server 3.6.* 所有版本

三、 处置建议

修复解决方案（含漏洞补丁） ：

官方已发布安全补丁， 请及时更新至最新版本：

MongoDB Server 8.2.* >= 8.2.3

MongoDB Server 8.0.* >= 8.0.17

MongoDB Server 7.0.* >= 7.0.28

MongoDB Server 6.0.* >= 6.0.27

MongoDB Server 5.0.* >= 5.0.32

MongoDB Server 4.4.* >= 4.4.30

下载地址：

https://www.mongodb.com/