文章总结： MongoDB曝出严重漏洞CVE-2025-14847，CVSSv4评分8.7，攻击者无需认证即可利用zlib压缩缺陷泄露服务器内存敏感数据。该漏洞影响3.6至8.2版本，建议立即升级修复或禁用zlib压缩。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,数据安全

MongoDB 存在严重未经身份验证的漏洞，可通过 zlib 压缩泄露敏感数据

sec随谈

sec随谈

2025年12月23日 09:36 北京

全球最流行的 NoSQL 数据库平台之一 MongoDB 被披露存在一个严重漏洞。该安全 漏洞编号为 CVE-2025-14847，允许攻击者在无需登录的情况下从服务器内存中窃取敏感数据。

该漏洞的CVSSv4 评分为 8.7，被评为“高危”，对未打补丁的部署构成重大风险，尤其因为它无需身份验证即可利用。

该漏洞存在于 MongoDB 服务器处理数据压缩的方式中。具体来说，它与 zlib 库的实现有关。根据安全公告，针对服务器 zlib 实现的特定“客户端漏洞利用可以返回未初始化的堆内存”。

在网络安全领域，这通常被称为“内存泄漏”或“信息泄露”漏洞。恶意客户端可以通过发送精心构造的请求，诱使服务器从其内部内存（堆）中返回数据块。

至关重要的是，该报告指出，这种攻击“无需向服务器进行身份验证”即可实现。这意味着攻击者不需要用户名或密码；他们只需要通过网络访问数据库端口，即可窃取服务器内存中存储的敏感数据碎片——这些数据可能包括最近的查询记录和缓存的凭据等。

该漏洞影响范围极广，几乎影响到过去几年所有受支持（以及不受支持）的 MongoDB 服务器版本。安全公告列出了从最新的 8.2 系列到最早的 3.6 版本的所有受影响版本。

此问题影响以下 MongoDB 版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有 MongoDB Server v4.2 版本
• 所有 MongoDB Server v4.0 版本
• 所有 MongoDB Server v3.6 版本

维护人员已针对受支持的分支发布了修复版本。强烈建议管理员立即升级到以下版本以弥补安全漏洞：

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30

对于无法立即离线升级数据库的团队，有一个临时解决方案。该建议指出，可以完全禁用 zlib 压缩。

“如果不能立即升级，请通过启动 mongod 或 mongos 并添加 net.compression.compressors 选项（该选项明确省略 zlib）来禁用 MongoDB 服务器上的 zlib 压缩”。

安全的压缩替代方案包括“snappy”或“zstd”，或者在应用补丁之前禁用压缩功能。

参考链接：

https://jira.mongodb.org/browse/SERVER-115508

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《MongoDB 存在严重未经身份验证的漏洞，可通过 zlib 压缩泄露敏感数据》