文章总结： MongoDB披露严重漏洞CVE-2025-14847，影响十年内多个主流版本。攻击者无需认证即可利用Zlib压缩协议缺陷远程读取服务器堆内存，泄露凭证、密钥等敏感数据。官方CVSS评分为8.7，隐蔽性高。建议立即升级至8.2.3、8.0.17等修复版本，或临时禁用Zlib压缩以缓解风险。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,数据安全

MongoDB Zlib 压缩协议曝出远程未授权堆内存泄露漏洞(CVE-2025-14847)

xxy开源

HACK之道

2025年12月25日 17:36 中国香港

MongoDB 近日紧急披露并修复了一项 极为严重的安全漏洞。 由于漏洞影响范围横跨近十年的多个主流版本，且 无需登录即可被远程利用，这一问题迅速被安全圈定性为一次“基础设施级”的安全事件。

该漏洞编号为 CVE-2025-14847，其危险性不在于“是否能删库”，而在于 攻击者可以在完全未认证的情况下，直接读取 MongoDB 服务器的进程内存。

漏洞的根源，出现在 MongoDB 协议对 zlib 压缩数据 的处理逻辑中。

由于压缩协议头中的长度字段校验存在缺陷，MongoDB 在处理特制请求时，可能会将 未初始化的堆内存 直接返回给客户端。攻击者只需要构造一个请求，服务器就会“顺手”把内存里的内容带出来。

这不是业务接口层面的数据泄露，而是 数据库进程级别的内存读取。

换句话说，MongoDB 并不是“被绕过了权限”，而是 在还没谈权限之前，就已经泄露了内部状态。

由于泄露的是堆内存，攻击者可能获取的信息包括：

•数据库访问凭证•TLS / 加密密钥•正在执行或刚执行完的查询数据•应用层传入的业务参数•内部缓存、元数据片段

这些数据很多并不会落盘，但一旦从内存中被读走，影响同样不可逆。

受影响的版本范围极广，几乎横跨 MongoDB 的一个时代：

•8.2.0 – 8.2.2•8.0.0 – 8.0.16•7.0.0 – 7.0.26•以及仍被大量使用的 6.x、5.x、4.4，甚至 3.6

这意味着，从十年前的老系统，到仍在生产中运行的“较新版本”， 几乎都在影响范围之内。

对不少企业来说，这不是“某个旧系统的遗留问题”，而是 当前生产环境正在面临的现实风险。

MongoDB 官方为该漏洞给出的 CVSS v4 评分为 8.7（High），单看分数，并不足以解释它的危险性。

为什么说这是一个“史诗级”漏洞？

1.完全无需认证2.远程可利用3.内存级数据泄露4.几乎不影响服务可用性5.攻击过程极其隐蔽

这意味着，攻击者可以在不触发告警、不造成异常的情况下，长期、反复地读取敏感信息。

在今天强调合规、审计和零信任的环境下， 这种“你甚至不知道自己已经泄露过什么”的漏洞，往往比直接删库更可怕。

对于金融、医疗、电信、政府等行业而言，内存中往往存放着：

•个人可识别信息（PII）•访问令牌与密钥•尚未加密或脱敏的业务数据

一旦被未授权读取，不仅是安全事故，更可能触发 合规风险，其后果远不止技术层面。

MongoDB 已发布紧急修复版本，官方建议 立即升级 至以下版本之一：

•8.2.3•8.0.17•7.0.28•6.0.27•5.0.32•4.4.30

如果短期内确实无法升级，官方也给出了 临时缓解方案：

•禁用 zlib 压缩•改用 snappy 或 zstd•明确在 mongod / mongos 启动参数中排除 zlib

需要强调的是： 这只是缓解，不是根治。

MongoDB 过去也出现过严重漏洞，但大多要么能被快速发现，要么影响集中在某一代版本。

而这一次不同。

它覆盖时间足够长、利用门槛足够低、泄露层级足够深， 并且 可能已经发生，却仍未被察觉。

因此，这不是一次“顺手升级”的问题，而是一次必须被认真对待的安全事件。

转载于 xxy开源公众号。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HACK之道 xxy开源《MongoDB Zlib 压缩协议曝出远程未授权堆内存泄露漏洞(CVE-2025-14847)》