文章总结： MongoDB披露高危漏洞CVE-2025-14847，源于zlib压缩协议头长度不匹配，攻击者可无需认证读取堆内存甚至执行任意代码。该漏洞影响3.6至8.2多个版本。建议立即升级至修复版本，若无法升级可禁用zlib网络压缩功能进行临时缓解。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,数据安全

MongoDB中存在的高危漏洞可能导致内存泄漏

原创

Lynn Greiner

信息安全D1net

2025年12月29日 16:09 北京

点击上方“蓝色字体”，选择 “设为星标”

关键讯息，D1时间送达！

企业网D1net

MongoDB披露高危漏洞CVE-2025-14847，源于zlib压缩协议头长度字段不匹配，攻击者可在无需身份验证的情况下读取未初始化堆内存，甚至执行任意代码并控制设备，该漏洞影响MongoDB 3.6至8.2多个版本，覆盖大量企业在用环境。MongoDB强烈建议用户立即升级至已修复版本，若暂无法升级，可通过禁用zlib网络压缩功能进行临时缓解。鉴于MongoDB在全球广泛部署，该漏洞对企业数据安全构成现实威胁。

文档数据库供应商MongoDB在发现一个可能允许未经身份验证的用户读取未初始化堆内存的漏洞后，建议客户立即进行更新。

该漏洞被指定为CVE-2025-14847，是zlib压缩协议头中的长度字段不匹配问题，攻击者可能借此执行任意代码，并有可能夺取设备控制权。

该漏洞影响以下MongoDB及MongoDB Server版本：

• MongoDB 8.2.0 至 8.2.3

• MongoDB 8.0.0 至 8.0.16

• MongoDB 7.0.0 至 7.0.26

• MongoDB 6.0.0 至 6.0.26

• MongoDB 5.0.0 至 5.0.31

• MongoDB 4.4.0 至 4.4.29

• 所有MongoDB Server v4.2版本

• 所有MongoDB Server v4.0版本

• 所有MongoDB Server v3.6版本

在其发布的公告中，MongoDB“强烈建议”用户立即升级至软件的已修复版本：MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30。

不过，该公司表示：“如果您无法立即升级，请在启动mongod或mongos时，使用明确排除zlib的网络消息压缩器(networkMessageCompressors)选项或网络压缩压缩器(net.compression.compressors)选项，在MongoDB Server上禁用zlib压缩功能。”

MongoDB是开发者最常用的NoSQL文档数据库之一，该公司称目前在全球拥有超过62000家客户，其中包括《财富》100强企业中的70%。

版权声明：本文为企业网D1net编译，转载需在文章开头注明出处为：企业网D1net，如果不注明出处，企业网D1net将保留追究其法律责任的权利。封面图片来源于摄图网

（来源：企业网D1net）

关于企业网D1net(www.d1net.com)

国内头部to B IT门户，同时在运营国内头部的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1net投稿。

投稿邮箱：

[email protected]

合作电话：

010-58221588（北京公司）

021-51701588（上海公司）

合作邮箱：

[email protected]

企业网D1net旗下信众智是CIO（首席信息官）的专家库和智力输出及资源分享平台，有六万多CIO专家，也是目前较大的CIO社交平台。

信众智对接CIO为CIO服务，提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内较早的toB共享经济平台。同时提供猎头，选型点评，IT部门业绩宣传等服务。

扫描 “二维码” 可以查看更多详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全D1net Lynn Greiner《MongoDB中存在的高危漏洞可能导致内存泄漏》