文章总结： MongoDB曝出高危漏洞CVE-2025-14847，攻击者无需认证即可利用压缩缺陷读取未初始化堆内存，泄露系统配置及路径等敏感信息。受影响版本涵盖3.6至8.2.3，PoC已公开。建议立即升级至安全版本，或临时禁用zlib压缩以规避风险。 综合评分： 88 文章分类： 漏洞预警,漏洞POC,数据安全

MongoDB高危漏洞允许未认证攻击者读取未初始化内存，PoC已公开

FreeBuf

2025年12月28日 18:30 上海

网络安全研究人员近日公开披露了一个影响MongoDB数据库的高危安全漏洞

（CVE-2025-14847，CVSS 评分：8.7）。该漏洞可能允许未经身份验证的用户读取服务器未初始化的堆内存，导致敏感信息泄露。

Part01

漏洞原理分析

该漏洞被研究人员命名为”Mongobleed”。利用此漏洞，攻击者可在无需任何凭证的情况下，远程提取 MongoDB 服务器未初始化的内存数据，可能导致内部日志、系统状态信息及其他敏感数据泄露。

漏洞根源在于 MongoDB 处理压缩消息时存在缺陷。攻击者可发送一个经过特殊构造的消息，消息中暗藏了一个异常庞大的“uncompressedSize”。MongoDB 会根据这个消息分配一个巨大的缓冲区，但 zlib 库实际上只将真实数据解压缩到缓冲区的起始部分。

服务器会将整个缓冲区都视为有效数据，这导致后续的 BSON 解析过程将未初始化的内存内容当作字段名进行读取，直至遇到空字节为止。通过尝试不同的偏移量，攻击者能够系统性地逐块泄漏内存数据。

Part02

泄露数据类型

研究人员表示：Mongobleed通过构造具有不同长度字段的畸形 BSON 文档，来系统性地扫描内存区域。每一次探测都可能泄露诸如 MongoDB WiredTiger 存储引擎配置、/proc/meminfo系统状态信息、Docker 容器路径、连接 UUID 以及客户端 IP 地址等数据片段。

Part03

受影响版本

该漏洞影响以下 MongoDB 版本：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有 MongoDB Server v4.2 版本
• 所有 MongoDB Server v4.0 版本
• 所有 MongoDB Server v3.6 版本

Part04

PoC工具已公开

研究人员在其 GitHub 仓库发布了该漏洞的 PoC 工具。该工具基于 Python 开发，部署使用较为简单。示例输出中可见类似“MemAvailable: 8554792 kB”的系统指标，以及“SyncookiesFailed EmbryonicRsts”等网络统计信息。

研究人员还提供了一个 Docker Compose 配置，用于搭建易受攻击的实例进行测试，这凸显了漏洞复现的简易性。在其演示中，泄露的数据总量超过 8700 字节，共 42 个片段。

Part05

修复方案

MongoDB 已在 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 版本中修复该漏洞。

如果无法立即更新，建议在MongoDB服务器上禁用zlib压缩功能。具体操作方法是：在启动mongod或mongos进程时，通过networkMessageCompressors或net.compression.compressors配置选项明确排除zlib。MongoDB支持的其他压缩器选项包括snappy和zstd。此临时措施可在升级前降低漏洞被利用的风险，但升级至安全版本仍是彻底解决问题的根本方案。

参考来源：

New MongoDB Flaw Lets Unauthenticated Attackers Read Uninitialized Memory

https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html

Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

mongobleed

https://github.com/joe-desimone/mongobleed

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《MongoDB高危漏洞允许未认证攻击者读取未初始化内存，PoC已公开》