文章总结： MongoDB官方紧急发布CVE-2025-14847高危漏洞预警，该漏洞源于zlib实现缺陷，无需认证即可远程执行任意代码。受影响版本覆盖3.6至8.2的多个大版本。官方建议立即升级至安全版本，若无法升级应禁用zlib压缩功能以缓解风险。 综合评分： 81 文章分类： 漏洞预警,数据安全,应用安全,网络安全

【安全圈】MongoDB 紧急提醒：立即修补可致远程代码执行的高危漏洞

安全圈

2025年12月27日 19:00 江苏

关键词

高危漏洞

MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。

漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。

官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。

MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。”

MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。

END

阅读推荐

【安全圈】14人落网！青岛胶州公安侦破一起重大侵犯公民个人信息案

【安全圈】黑客在暗网兜售NtKiller恶意软件，宣称可终止杀毒软件并绕过EDR防护

【安全圈】攻击者利用伪装成杀毒软件的Word和PDF文档攻击以色列组织

【安全圈】法国邮政遭遇DDoS攻击，圣诞旺季在线服务全面瘫痪

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】MongoDB 紧急提醒：立即修补可致远程代码执行的高危漏洞》