MongoDB出现高危漏洞，无需验证即可执行任意代码

IT之家 12 月 28 日消息，NoSQL 数据库管理系统 MongoDB 最近出现高危漏洞，目前官方已经发布新版本进行修复，使用 MongoDB、MongoDB Server 的开发者或 IT 管理员应立即升级到最新版本。

结合 aikido 网安数据库昨天更新，该漏洞被标记为 CVE-2025-14847（IT之家注：代号“MongoBleed”），可让未经身份验证的网络攻击者侵入服务器，提取未初始化的内存片段。如果服务器开启了网络访问并启用 zlib 压缩，那黑客就不需要任何凭据即可启用漏洞。

同时，由于该漏洞可在消息解压阶段、身份验证前触发，因此黑客可以在入侵的服务器中执行任意代码。

本次漏洞的影响范围相当广泛，涵盖 8.2.0-8.2.3 版、8.0.0-8.0.16 版、7.0.0-7.0.26 版、6.0.0-6.0.26 版、5.0.0-5.0.31 版、4.4.0-4.4.29 版 MongoDB；同时 4.2 版、4.0 版，以及 3.6 版 MongoDB Server 也受到对应影响。

MongoDB 目前已发布修复补丁，官方强烈建议用户升级至以下修复版本：

8.2.3

8.0.17

7.0.28

6.0.27

5.0.32

4.4.30

如果管理员暂时无法将 MongoDB 更新到最新版本，也可以使用以下临时缓解措施来降低影响：

禁用 zlib 压缩，改用 snappy、zstd 或不启用压缩

通过防火墙、安全组或 Kubernetes NetworkPolicy 限制 MongoDB 访问网络

移除任何不必要的公网暴露