MongoDB:立即修复这个严重的RCE漏洞

admin
admin
admin
0
文章
0
评论
2025-12-27 02:03:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Mongodb官方发布高危安全预警,要求管理员立即修复严重的远程代码执行漏洞CVE-2025-14847。该漏洞源于zlib压缩长度参数处理不当,允许未经身份认证的攻击者在无需交互的情况下接管服务器。受影响版本范围极广,覆盖3.6至8.2全系列。强烈建议管理员即刻升级至最新修复版本,或在无法升级时通过配置禁用zlib压缩选项以有效缓解威胁。 综合评分: 85 文章分类: 漏洞预警,数据安全,漏洞分析,解决方案,网络安全

cover_image

MongoDB:立即修复这个严重的RCE漏洞

Sergiu Gatlan

代码卫士

2025年12月25日 18:15 北京

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

MongoDB提醒IT管理员立即修补一个高危漏洞CVE-2025-14847,可用于在易受攻击的服务器上实施远程代码执行攻击。

该漏洞影响多个MongoDB和MongoDB Server版本,且可由未经身份验证的威胁行动者者利用,实施无需用户交互的低复杂度攻击。该漏洞是由长度参数处理不当造成的,可用于执行任意代码,并可能获得目标设备的控制权。

要修复该漏洞,建议管理员立即升级至以下版本:

  • MongoDB 8.2.3
  • MongoDB 8.0.17
  • MongoDB 7.0.28
  • MongoDB 6.0.27
  • MongoDB 5.0.32
  • MongoDB 4.4.30

受影响的版本如下:

  • MongoDB 8.2.0 至 8.2.2
  • MongoDB 8.0.0 至 8.0.16
  • MongoDB 7.0.0 至 7.0.26
  • MongoDB 6.0.0 至 6.0.26
  • MongoDB 5.0.0 至 5.0.31
  • MongoDB 4.4.0 至 4.4.29
  • 所有MongoDB Server v4.2 版本
  • 所有 MongoDB Server v4.0 版本
  • 所有 MongoDB Server v3.6 版本

MongoDB安全团队在上周五发布的公告中表示:“对服务器端zlib实现的客户端攻击可能在未向服务器进行身份验证的情况下返回未初始化的堆内存。我们强烈建议尽快升级到已修复的版本。如果无法立即升级,请通过在启动 mongodmongos 时使用明确排除zlib的 networkMessageCompressorsnet.compression.compressors 选项,在MongoDB服务器上禁用zlib压缩。”

CISA曾在四年前将另一个MongoDB RCE漏洞(CVE-2019-10758)添加到其已知被利用漏洞目录中,将其标记为“正在遭活跃利用”,并根据具有约束力的操作指令 22-01 的要求,命令联邦机构保护其系统安全。

MongoDB是一款流行的非关系型数据库管理系统。与PostgreSQL和MySQL等关系型数据库不同,它将数据存储在BSON(二进制JSON)文档中,而非表格中。MongoDB全球范围内的客户超过62500家,其中包括数十家《财富》500强公司。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login

推荐阅读

MongoDB 服务器预认证漏洞可用于触发 DoS 条件

MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE

MongoDB 证实被黑,客户数据被盗

Spring Data MongoDB SpEL表达式注入漏洞安全风险通告第二次更新

原文链接

https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Sergiu Gatlan《MongoDB:立即修复这个严重的RCE漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  4