文章总结： MongoDB存在Zlib压缩协议堆内存信息泄露高危漏洞CVE-2025-14847，未认证攻击者可构造异常数据包导致服务器泄露堆内存中的敏感信息。该漏洞影响3.6至8.2.2等多个版本。建议立即升级至8.2.3修复，或在无法升级时限制IP访问、禁用压缩传输并加强日志监控以降低风险。 综合评分： 91 文章分类： 漏洞预警,应用安全,数据安全

【高危漏洞预警】MongoDB Zlib压缩协议堆内存信息泄露漏洞CVE-2025-14847

cexlife

飓风网络安全

2025年12月29日 10:11 北京

漏洞描述:

MоnɡоDB是一个高性能、开源、NоSQL数据库,广泛应用于数据密集型应用,该漏洞源于Zlib压缩协议头中的长度字段不匹配导致服务器端Zlib实现存在安全缺陷,当未经身份验证的客户端发送精心构造的、带有异常长度字段的压缩协议包时,可以诱使服务器从其堆内存中读取并返回未经初始化的数据。攻击者可以利用此漏洞,获取服务器进程内存中包含的数据库凭证、业务数据、配置信息等敏感内容从而破坏数据的机密性

影响产品:

1、 8.2.0 <= MongoDB Server <= 8.2.2

2、 8.0.0 <= MongoDB Server <= 8.0.16

3、 7.0.0 <= MongoDB Server <= 7.0.27

4、 6.0.0 <= MongoDB Server <= 6.0.26

5、 5.0.0 <= MongoDB Server <= 5.0.31

6、 4.4.0 <= MongoDB Server <= 4.4.29

7、 MongoDB Server 4.2.* 所有版本

8、 MongoDB Server 4.0.* 所有版本

9、 MongoDB Server 3.6.* 所有版本

修复建议:

补丁名称:

MоnɡоDB服务器内存错误引用漏洞的补丁-更新至最新版本8.2.3

文件链接:

https://github.com/mongodb/mongo/releases/tag/r8.2.3

临时缓解措施:若无法立即升级，建议通过防火墙策略限制 MongoDB 服务对外暴露，仅允许可信 IP 访问；关闭不必要的压缩协议支持（如禁用 zlib 压缩传输）。

加强监控：在边界设备与日志系统中部署规则，检测异常的 Zlib 协议包或异常响应长度，识别潜在攻击行为。

定期审计：对 MongoDB 服务器内存状态与日志进行定期审查，排查是否存在未授权的数据读取行为。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】MongoDB Zlib压缩协议堆内存信息泄露漏洞CVE-2025-14847》