文章总结： MongoDB警告需立即修复高危RCE漏洞CVE-2025-14847，该漏洞因zlib实现中长度参数处理不当导致，未经身份验证攻击者可利用其执行任意代码。影响范围涵盖3.6至8.2多个版本。建议立即升级至8.2.3等修复版本，或通过禁用zlib压缩作为临时缓解措施。该漏洞风险极高，管理员应迅速采取行动以防被利用。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,网络安全,解决方案

MongoDB警告管理员立即修复严重的远程代码执行漏洞

Rhinoer

犀牛安全

2025年12月31日 00:00 北京

MongoDB 已警告数据库管理员立即修复一个高危漏洞，该漏洞可被利用于针对易受攻击服务器的远程代码执行 (RCE) 攻击。

该安全漏洞被追踪为CVE-2025-14847，影响多个 MongoDB 和 MongoDB Server 版本，未经身份验证的攻击者可以利用该漏洞进行低复杂度的攻击，而无需用户交互。

CVE-2025-14847 是由于对长度参数不一致的处理不当造成的，这可能允许攻击者执行任意代码并有可能控制目标设备。

为了修复安全漏洞并阻止潜在的攻击，建议管理员立即升级到 MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30。

该漏洞影响以下 MongoDB 版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有MongoDB Server v4.2 版本
• 所有MongoDB Server v4.0 版本
• 所有MongoDB Server v3.6 版本

MongoDB 安全团队在周五发布的一份安全公告中表示：“客户端可以利用服务器端 zlib 实现的漏洞，在无需向服务器进行身份验证的情况下返回未初始化的堆内存。我们强烈建议尽快升级到已修复的版本。”

我们强烈建议您立即升级。如果您无法立即升级，请在启动 mongod 或 mongos 时，使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib，从而禁用 MongoDB 服务器上的 zlib 压缩。

四年前，美国网络安全和基础设施安全局 (CISA) 将另一个 MongoDB RCE 漏洞(CVE-2019-10758) 添加到其已知被利用漏洞目录中，并将其标记为正在被积极利用，并命令联邦机构按照约束性操作指令 (BOD) 22-01 的规定保护其系统。

MongoDB 是一种流行的非关系型数据库管理系统 (DBMS)，与 PostgreSQL 和 MySQL 等关系型数据库不同，它将数据存储在 BSON（二进制 JSON）文档中，而不是表中。

该数据库软件在全球拥有超过 62,500 名客户，其中包括数十家财富 500 强公司。

信息来源 ：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《MongoDB警告管理员立即修复严重的远程代码执行漏洞》