MongoDB漏洞 CVE-2025-14847 正在全球范围内被活跃利用

最近披露的 MongoDB 安全漏洞已在野外被活跃利用，全球已识别出超过 87,000 台潜在受影响实例。

该漏洞为

（CVSS 评分：8.7），允许未认证攻击者远程泄露 MongoDB 服务器内存中的敏感数据，代号为。

“zlib 压缩中的缺陷使攻击者能够触发信息泄漏，”

。“通过发送畸形网络数据包，攻击者可以提取私有数据片段。”

该问题根源于 MongoDB Server 的 zlib 消息解压实现（message_compressor_zlib.cpp），影响启用了 zlib 压缩的实例，而该配置为默认设置。成功利用该缺陷后，攻击者可提取包括用户信息、密码和 API 密钥在内的敏感数据。

“虽然攻击者可能需要发送大量请求才能收集完整数据库，且部分数据可能无意义，但攻击者拥有的时间越长，收集的信息就越多，”

补充道。

云安全公司 Wiz 表示，CVE-2025-14847 源于基于 zlib 的网络消息解压逻辑缺陷，攻击者可发送畸形、压缩的网络数据包触发漏洞，在无需有效凭证或用户交互的情况下访问未初始化的堆内存。

“受影响的逻辑返回了已分配缓冲区大小（output.length()），而非实际解压后数据长度，导致尺寸不足或畸形的负载暴露相邻堆内存，”安全研究员 Merav Bar 与 Amitai Cohen

。“由于该漏洞在身份验证前即可被利用且不需要用户交互，面向互联网的 MongoDB 服务器风险尤为显著。”

攻击面管理公司 Censys 的数据表明，受影响实例超过

台，主要分布在美国、中国、德国、印度和法国。Wiz 统计显示，42% 的云环境至少部署了一台受 CVE-2025-14847 影响的 MongoDB 实例，包括互联网暴露和内部资源。

目前尚不清楚利用该缺陷的具体攻击细节。建议用户升级至 MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 版本。MongoDB Atlas 已部署补丁。值得注意的是，该漏洞同样影响使用 zlib 的 Ubuntu rsync 包。

作为临时补救措施，推荐在启动 mongod 或 mongos 时通过 networkMessageCompressors 或 net.compression.compressors 选项显式排除 zlib，以禁用 MongoDB Server 的 zlib 压缩。其他缓解措施包括限制 MongoDB 服务器的网络暴露以及监控 MongoDB 日志中的异常预认证连接。

Update

美国网络安全与基础设施安全局（CISA）已将 CVE-2025-14847 列入其已知被利用漏洞目录，并要求联邦民用行政部门在 2026 年 1 月 19 日前采取修复措施。

“MongoDB Server 在 zlib 压缩协议头部存在长度参数不一致处理不当的漏洞，”CISA 表示。“该漏洞可能允许未经认证的客户端读取未初始化的堆内存。”