扫码查看公告

【安全通告】MongoDB 堆内存信息泄露漏洞风险通告（CVE-2025-14847）

尊敬的腾讯云用户，您好！

腾讯云安全中心监测到，MongoDB 官方发布安全通告，披露了其存在堆内存信息泄露漏洞，漏洞编号CVE-2025-14847，也被称为“MongoBleed”。可导致未经身份验证的远程攻击者通过特制的 Zlib 压缩协议请求，读取服务器堆内存中未初始化的敏感数据等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

MongoDB，一个基于分布式文件存储的数据库，旨在为 WEB 应用提供可扩展的高性能数据存储解决方案，是一款介于关系数据库和非关系数据库之间的产品。

据官方描述，在 MongoDB Server 的受影响版本中，当其处理使用 Zlib 压缩的协议消息时，对消息头部中的长度字段校验存在缺陷。若攻击者构造一个包含不匹配长度字段（例如，声明的长度大于实际压缩数据长度）的特制压缩消息并发送给 MongoDB 服务器，服务器在解压并处理该消息的过程中，可能基于声明的长度从堆内存缓冲区中读取超出实际数据范围的数据。这些超出部分的数据是先前残留在堆内存中、未经过初始化的旧数据，从而导致服务器在响应中包含这些本不应被访问的内存残片信息。

注：该漏洞仅影响启用了 Zlib 压缩的 MongoDB 实例。

目前该漏洞的漏洞细节、POC已公开。

风险等级

高风险

漏洞风险

未经身份验证的远程攻击者利用该漏洞可通过发送特制的 Zlib 压缩协议请求，读取 MongoDB 服务器堆内存中的未初始化数据，可能导致敏感信息（如会话令牌、其他请求的数据片段）泄露。

影响版本

8.2.0 <= MongoDB Server < 8.2.3

8.0.0 <= MongoDB Server < 8.0.17

7.0.0 <= MongoDB Server < 7.0.28

6.0.0 <= MongoDB Server < 6.0.27

5.0.0 <= MongoDB Server < 5.0.32

4.4.0 <= MongoDB Server < 4.4.30

MongoDB Server 4.2

MongoDB Server 4.0

MongoDB Server 3.6

安全版本

MongoDB Server >= 8.2.3

MongoDB Server >= 8.0.17

MongoDB Server >= 7.0.28

MongoDB Server >= 6.0.27

MongoDB Server >= 5.0.32

MongoDB Server >= 4.4.30

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本

https://www.mongodb.com/

2. 缓解措施：

在 MongoDB 服务器上禁用 Zlib 压缩。具体操作方法如下：

可通过为 mongod 或 mongos 进程设置 networkMessageCompressors 或 net.compression.compressors 启动选项，并明确排除 zlib（可使用其它示例安全值：snappy、zstd 或直接设置 disabled 完全禁用），来禁用 Zlib 压缩，从而临时缓解该漏洞。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://jira.mongodb.org/browse/SERVER-115508

https://nvd.nist.gov/vuln/detail/CVE-2025-14847

2025-12-29