MongoDB 数据库管理系统出现高危漏洞，无需身份验证即可执行任意代码

IT之家 12 月 28 日消息，NoSQL 数据库管理系统 MongoDB 最近出现高危漏洞，目前官方已经发布新版本进行修复，使用 MongoDB、MongoDB Server 的开发者或 IT 管理员应立即升级到最新版本。

结合 aikido 网安数据库昨天更新，该漏洞被标记为 CVE-2025-14847（IT之家注：代号“MongoBleed”），可让未经身份验证的网络攻击者侵入服务器，提取未初始化的内存片段。如果服务器开启了网络访问并启用 zlib 压缩，那黑客就不需要任何凭据即可启用漏洞。

同时，由于该漏洞可在消息解压阶段、身份验证前触发，因此黑客可以在入侵的服务器中执行任意代码。

本次漏洞的影响范围相当广泛，涵盖 8.2.0-8.2.3 版、8.0.0-8.0.16 版、7.0.0-7.0.26 版、6.0.0-6.0.26 版、5.0.0-5.0.31 版、4.4.0-4.4.29 版 MongoDB；同时 4.2 版、4.0 版，以及 3.6 版 MongoDB Server 也受到对应影响。

MongoDB 目前已发布修复补丁，官方强烈建议用户升级至以下修复版本：

• 8.2.3

• 8.0.17

• 7.0.28

• 6.0.27

• 5.0.32

• 4.4.30

如果管理员暂时无法将 MongoDB 更新到最新版本，也可以使用以下临时缓解措施来降低影响：

• 禁用 zlib 压缩，改用 snappy、zstd 或不启用压缩

• 通过防火墙、安全组或 Kubernetes NetworkPolicy 限制 MongoDB 访问网络

• 移除任何不必要的公网暴露

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。