一、漏洞详情
MongoDB是一款基于C++开发的开源NoSQL数据库系统,广泛应用于现代Web应用程序。
近日,监测到MongoDB存在未授权内存泄露漏洞(CVE-2025-14847)。在message_compressor_zlib.cpp中,原代码使用output.length()返回已分配的内存大小,而非实际解压缩数据的长度。攻击者可通过发送格式错误的网络数据包,触发未初始化堆内存的读取,从而导致敏感信息泄露。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
MongoDB Server 8.2.0 - 8.2.2
MongoDB Server 8.0.0 - 8.0.16
MongoDB Server 7.0.0 - 7.0.27
MongoDB Server 6.0.0 - 6.0.26
MongoDB Server 5.0.0 - 5.0.31
MongoDB Server 4.4.0 - 4.4.29
MongoDB Server 4.2.0 及以上版本
MongoDB Server 4.0.0 及以上版本
MongoDB Server 3.6.0 及以上版本
三、修复建议
升级至官方修复版本:
8.2.x 用户升级至 8.2.3
8.0.x 用户升级至 8.0.17
7.0.x 用户升级至 7.0.28
6.0.x 用户升级至 6.0.27
5.0.x 用户升级至 5.0.32
4.4.x 用户升级至 4.4.30
