【漏洞通告】MongoDB未授权内存泄露漏洞(CVE-2025-14847)

admin
admin
admin
0
文章
0
评论
2025-12-30 01:16:37 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: MongoDBServer存在未授权内存泄露漏洞CVE-2025-14847,攻击者无需认证即可通过畸形数据包触发堆内存错误读取敏感信息。受影响版本覆盖4.4.29至8.2.2。建议尽快升级至官方指定修复版本,避免服务器暴露于公网,并利用深信服等安全工具进行资产发现与漏洞检测。 综合评分: 75 文章分类: 漏洞预警,数据泄露,解决方案,网络安全

cover_image

【漏洞通告】MongoDB 未授权内存泄露漏洞(CVE-2025-14847)

深瞳漏洞实验室

深信服千里目安全技术中心

2025年12月29日 16:24 北京

漏洞名称:

MongoDB 未授权内存泄露漏洞(CVE-2025-14847)

组件名称:

Mongodb Server

影响范围:

8.2.0 ≤ MongoDB Server ≤ 8.2.2 8.0.0 ≤ MongoDB Server ≤ 8.0.16 7.0.0 ≤ MongoDB Server ≤ 7.0.27 6.0.0 ≤ MongoDB Server ≤ 6.0.26 5.0.0 ≤ MongoDB Server ≤ 5.0.31 MongoDB Server ≤ 4.4.29

漏洞类型:

内存泄露

利用条件:

1、用户认证:不需要用户认证

2、前置条件:默认配置

3、触发方式:远程

综合评价:

<综合评定利用难度>:容易,无需授权即可造成敏感信息泄露。

<综合评定威胁等级>:高危,能造成敏感信息泄露。

官方解决方案:

已发布

漏洞分析

组件介绍

Mongodb Server是美国Mongodb公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。

漏洞简介

2025年12月29日,深瞳漏洞实验室监测到一则Mongodb Server组件存在内存泄露漏洞的信息,漏洞编号:CVE-2025-14847,漏洞威胁等级:高危。

MongoDB Server存在一个内存泄漏漏洞,未经授权的攻击者可以通过发送格式错误的数据包,触发堆内存错误,读取内存数据,导致敏感信息泄露。

影响范围

目前受影响的Mongodb Server版本:

8.2.0 ≤ MongoDB Server ≤ 8.2.2 8.0.0 ≤ MongoDB Server ≤ 8.0.16 7.0.0 ≤ MongoDB Server ≤ 7.0.27 6.0.0 ≤ MongoDB Server ≤ 6.0.26 5.0.0 ≤ MongoDB Server ≤ 5.0.31 MongoDB Server ≤ 4.4.29

解决方案

官方修复建议

若您 MongoDB Server 版本为 8.2.x,请尽快升级至 8.2.3; 若您 MongoDB Server 版本为 8.0.x,请尽快升级至 8.0.17; 若您 MongoDB Server 版本为 7.0.x,请尽快升级至 7.0.28; 若您 MongoDB Server 版本为 6.0.x,请尽快升级至 6.0.27; 若您 MongoDB Server 版本为 5.0.x,请尽快升级至 5.0.32; 若您 MongoDB Server 版本为 4.4.x或更低版本,请尽快升级至 4.4.30。 下载链接:https://github.com/mongodb/mongo/tags

临时修复建议

尽可能避免MongoDB服务器暴露于公网中。

深信服解决方案

1、风险资产发现

支持对Mongodb Server的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服统一端点安全管理系统aES】 已发布资产检测方案,指纹ID:0000366。

【深信服云镜YJ】 已发布资产检测方案,指纹ID:0000366。

【深信服漏洞评估工具TSS】已发布资产检测方案,指纹ID:0000366。

2、漏洞主动检测

支持对MongoDB 未授权内存泄露漏洞(CVE-2025-14847)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:

【深信服云镜YJ】预计2025年12月31日发布检测方案,规则ID:SF-2025-02450。

【深信服漏洞评估工具TSS】预计2025年12月30日发布检测方案,规则ID:SF-2025-01471。

【深信服安全托管服务MSS】预计2025年12月30日发布检测方案(需要具备TSS组件能力),规则ID:SF-2025-01471。

【深信服可拓展检测响应平台XDR】预计2025年12月31日发布检测方案(需要具备云镜组件能力),规则ID:SF-2025-02450。

参考链接

https://jira.mongodb.org/browse/SERVER-115508

时间轴

2025/12/29

深瞳漏洞实验室监测到MongoDB 未授权内存泄露漏洞信息。

2025/12/29

深瞳漏洞实验室发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:深信服千里目安全技术中心 深瞳漏洞实验室《【漏洞通告】MongoDB 未授权内存泄露漏洞(CVE-2025-14847)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0