新的MongoDB漏洞允许未认证攻击者读取未初始化内存

MongoDB 近日披露一个高危安全漏洞（CVE-2025-14847，CVSS 评分：8.7），未认证用户可利用该漏洞读取未初始化的堆内存。该漏洞源于程序未能正确处理长度参数不一致的情况，当长度字段与关联数据的实际长度不匹配时就会触发。 根据 CVE.org 的描述："Zlib 压缩协议头中的长度字段不匹配可能导致未认证客户端读取未初始化的堆内存。"

受影响版本

该漏洞影响以下 MongoDB 版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有 MongoDB Server v4.2 版本
• 所有 MongoDB Server v4.0 版本
• 所有 MongoDB Server v3.6 版本

修复方案

MongoDB 已在 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 版本中修复该漏洞。官方表示："攻击者无需认证即可利用服务端 zlib 实现返回未初始化的堆内存。我们强烈建议用户尽快升级至修复版本。" 若无法立即升级，建议通过以下方式禁用 MongoDB Server 的 zlib 压缩功能：启动 mongod 或 mongos 时，使用 networkMessageCompressors 或 net.compression.compressors 选项明确排除 zlib。MongoDB 支持的其他压缩器选项包括 snappy 和 zstd。

漏洞危害

OP Innovate 指出："CVE-2025-14847 允许远程未认证攻击者触发特定条件，使 MongoDB 服务器返回堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针等可能帮助攻击者进一步利用的数据。"