盛邦安全 漏洞 刚刚发布

2745

收藏

一、漏洞概述

漏洞类型	敏感信息泄露
漏洞等级	高
漏洞编号	CVE-2025-14847
漏洞评分	8.7
利用复杂度	低
影响版本	v8.2<8.2.3 v8.0<8.0.17 v7.0<7.0.28 v6.0<6.0.27 v5.0<5.0.32 v4.4<4.4.30v4.2/v4.0/v3.6≥4.2.0/4.0.0/3.6.0（具体版本未定）
利用方式	远程
POC/EXP	已公开

近日，网上有相关情报说“MongoDB 数据库管理系统出现高危漏洞，无需身份验证即可执行任意代码”。经研判，该漏洞为未授权敏感信息泄露，攻击者可以远程获取MongoDB 服务器内存中的敏感数据。为避免您的业务受影响，建议您及时开展安全风险自查。

MongoDB 是一款开源、高性能、无模式的文档型 NoSQL 数据库，由 MongoDB Inc.（原 10gen）于 2007 年开发，设计目标是解决传统关系型数据库（RDBMS）在灵活数据存储、水平扩展、高并发等场景下的局限性。它以文档（Document） 为核心存储单元，使用类似 JSON 的 BSON（Binary JSON） 格式，支持动态模式（Schema-less），成为现代应用开发中处理半结构化/非结构化数据的首选方案之一。

据描述，MongoDB 在处理 Zlib 压缩协议头时，若长度字段不匹配，可能导致读取未初始化堆内存，造成敏感信息泄露或服务异常。

漏洞影响的产品和版本：

以下MongoDB Server 版本受影响：

v8.2< 8.2.3

v8.0< 8.0.17

v7.0< 7.0.28

v6.0< 6.0.27

v5.0< 5.0.32

v4.4< 4.4.30

v4.2 / v4.0 / v3.6：≥ 4.2.0 / 4.0.0 / 3.6.0（具体版本未定）

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在4,930,731个资产，国内风险资产分布情况如下。

立即升级至安全版本：

MongoDB v8.2 → 升级至 ≥ 8.2.3

MongoDB v8.0 → 升级至 ≥ 8.0.17

MongoDB v7.0 → 升级至 ≥ 7.0.28

MongoDB v6.0 → 升级至 ≥ 6.0.27

MongoDB v5.0 → 升级至 ≥ 5.0.32

MongoDB v4.4 → 升级至 ≥ 4.4.30

临时缓解措施：

• 禁用 Zlib 压缩协议（如非必要）
• 在网络层部署 WAF，拦截异常压缩请求
• 启用 MongoDB 审计日志，监控异常连接行为

五、参考链接

https://github.com/advisories/GHSA-4742-mr57-2r9j

https://www.ddpoc.com/DVB-2025-10547.html 

原文链接

如若转载，请注明原文地址

• 分享至

你可能感兴趣的

• 

  漏洞预警 | MongoDB 存在未授权内存泄露漏洞（CVE-2025-14847）

• 

  黑客利用 Gladinet CentreStack 加密漏洞发起远程代码执行攻击

• 

  新型UEFI漏洞曝光：技嘉、微星、华硕、华擎主板面临启动前攻击风险

• 

  黑客借 React2Shell 漏洞发起 EtherRAT 恶意软件攻击

• 

  漏洞预警 | React/Next.js组件RCE漏洞（CVE-2025-55182）详情分析-【附验证环境】

• 

  新型Mirai衍生僵尸网络ShadowV2现身 瞄准多品牌IoT设备漏洞发起攻击