文章总结： MongoDB存在未授权内存泄露漏洞CVE-2025-14847，攻击者无需认证即可远程读取服务器内存敏感数据。漏洞源于网络传输层Zlib压缩处理缺陷，通过发送畸形数据包触发未初始化堆内存读取。影响范围广泛，涉及4.2及以上多个版本。建议用户尽快升级至官方修复版本，或避免将系统直接暴露于互联网以降低风险。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,应急响应

【已复现】MongoDB 未授权内存泄露漏洞（CVE-2025-14847）

长亭安全应急响应中心

2025年12月28日 21:39 北京

MongoDB 是一款基于 C++ 开发的开源 NoSQL 数据库系统，广泛应用于现代 Web 应用程序，提供高性能、高可用性和自动扩展等功能。

2025年12月，长亭安全应急响应中心监测到 MongoDB 存在未授权内存泄露漏洞（CVE-2025-14847）。经分析，未经身份验证的攻击者可利用该漏洞远程读取服务器内存中的敏感数据，无需任何认证即可发起攻击，利用难度较低，建议受影响的用户尽快修复。

漏洞描述

Description

01

漏洞成因

CVE-2025-14847 是 MongoDB 网络传输层中 Zlib 压缩处理的一个缺陷。在 message_compressor_zlib.cpp 中，原代码使用 output.length() 返回已分配的内存大小，而非实际解压缩数据的长度。攻击者可通过发送格式错误的网络数据包，触发未初始化堆内存的读取，从而导致敏感信息泄露。

漏洞影响

敏感信息泄露：攻击者可远程提取 MongoDB 服务器内存中的敏感数据，包括用户信息、密码、API 密钥等，可能导致数据泄露和进一步的横向渗透攻击。

处置优先级：高

漏洞类型：信息泄露

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：默认配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP 已公开

修复复杂度：低，官方提供修复方案

影响版本

Affects

02

MongoDB Server 8.2.0 - 8.2.2

MongoDB Server 8.0.0 - 8.0.16

MongoDB Server 7.0.0 - 7.0.27

MongoDB Server 6.0.0 - 6.0.26

MongoDB Server 5.0.0 - 5.0.31

MongoDB Server 4.4.0 - 4.4.29

MongoDB Server 4.2.0 及以上版本

MongoDB Server 4.0.0 及以上版本

MongoDB Server 3.6.0 及以上版本

解决方案

Solution

03

#

升级修复方案 升级至官方修复版本： * 8.2.x 用户升级至 8.2.3 * 8.0.x 用户升级至 8.0.17 * 7.0.x 用户升级至 7.0.28 * 6.0.x 用户升级至 6.0.27 * 5.0.x 用户升级至 5.0.32 * 4.4.x 用户升级至 4.4.30

**临时缓解方案 如非必要，避免将该系统直接暴露在互联网 *漏洞复现* Reproduction 04 ** 参考资料： [1].https://github.com/advisories/GHSA-4742-mr57-2r9j

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全应急响应中心 《【已复现】MongoDB 未授权内存泄露漏洞（CVE-2025-14847）》