文章总结： MongoDB警告需立即修复严重漏洞CVE-2025-14847。该漏洞源于长度参数处理不当，未认证攻击者可利用zlib缺陷执行远程代码。影响8.2至3.6等多版本。建议立即升级至修复版本，无法升级时可禁用zlib压缩以缓解风险。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,数据安全

MongoDB警告管理员立即修复严重远程代码执行漏洞

会杀毒的单反狗

军哥网络安全读报

2025年12月25日 09:00 湖北

导读

MongoDB 已警告 IT 管理员立即修复一个高危漏洞，该漏洞可被利用于针对易受攻击服务器的远程代码执行 (RCE) 攻击。

该安全漏洞编号为CVE-2025-14847，影响多个 MongoDB 和 MongoDB Server 版本，未经身份验证的攻击者可以利用该漏洞进行低复杂度的攻击，而无需用户交互。

CVE-2025-14847 是由于对长度参数不一致的处理不当造成的，这可能允许攻击者执行任意代码并有可能控制目标设备。

为了修复安全漏洞并阻止潜在的攻击，建议管理员立即升级到 MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30。

该漏洞影响以下 MongoDB 版本：

MongoDB 8.2.0 至 8.2.3

MongoDB 8.0.0 至 8.0.16

MongoDB 7.0.0 至 7.0.26

MongoDB 6.0.0 至 6.0.26

MongoDB 5.0.0 至 5.0.31

MongoDB 4.4.0 至 4.4.29

所有 MongoDB Server v4.2 版本

所有 MongoDB Server v4.0 版本

所有 MongoDB Server v3.6 版本

MongoDB 安全团队在周五发布的一份安全公告中表示：“客户端可以利用服务器端 zlib 实现的漏洞，在无需向服务器进行身份验证的情况下返回未初始化的堆内存。我们强烈建议尽快升级到已修复的版本。”

如果无法立即升级，请在启动 mongod 或 mongos 时，使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib，从而禁用 MongoDB 服务器上的 zlib 压缩。

MongoDB 是一种流行的非关系型数据库管理系统 (DBMS)，与 PostgreSQL 和 MySQL 等关系型数据库不同，它将数据存储在 BSON（二进制 JSON）文档中，而不是表中。

该数据库软件在全球拥有超过 62,500 名客户，其中包括数十家财富 500 强公司。

官方安全公告：

https://jira.mongodb.org/browse/SERVER-115508

新闻链接：

https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《MongoDB警告管理员立即修复严重远程代码执行漏洞》