文章总结： MongoDB严重漏洞MongoBleed（CVE-2025-14847）影响多个版本，允许攻击者在无认证情况下通过内存泄露窃取密码、API密钥等敏感数据，全球超8.7万台服务器暴露。由于该漏洞zlib处理缺陷，已有公开PoC并被野外利用。建议管理员立即升级至安全版本或禁用zlib压缩，同时检查日志中异常连接以检测入侵迹象。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,数据泄露

MongoDB 严重漏洞，87K 服务器暴露

独眼情报

2025年12月29日 11:15 湖北

一个影响多个 MongoDB 版本的严重漏洞，被称为 MongoBleed（CVE-2025-14847），正在野外被主动利用，超过 80,000 台可能易受攻击的服务器在公共网络上暴露。

已有公开利用代码和随附的技术细节，展示攻击者如何触发该缺陷，从暴露的 MongoDB 服务器远程提取机密、凭据和其他敏感数据。

该漏洞被评为严重性得分 8.7，并被作为“关键修复”处理，自 12 月 19 日起已有补丁可用于自托管实例。

利用导致机密泄露

MongoBleed 漏洞源于 MongoDB 服务器如何处理由 zlib 库用于无损数据压缩的网络数据包。

Ox Security 的研究人员解释说，该问题是由 MongoDB 在处理网络消息时返回已分配内存的数量而不是解压后数据的长度引起的。

威胁行为者可以发送一个声明在解压后更大尺寸的格式错误消息，导致服务器分配更大的内存缓冲区，并向客户端泄露内存中的敏感信息。

通过这种方式泄露的秘密类型可能包括凭证、API 和/或云密钥、会话令牌、个人身份信息（PII）、内部日志、配置、路径以及与客户端相关的数据。

由于网络消息的解压发生在认证阶段之前，利用 MongoBleed 的攻击者不需要有效的凭证。

由 Elastic 安全研究员 Joe Desimone 发布的公开利用代码，以“MongoBleed”为名的概念验证（PoC）专门用于泄露敏感内存数据。

安全研究员 Kevin Beaumont 指出 ，该 PoC 利用代码有效，只需“一个 MongoDB 实例的 IP 地址就可以开始在内存中搜索诸如数据库密码（为明文）、AWS 密钥等信息。”

MongoBleed 利用泄露机密来源：Kevin Beaumont

根据用于发现互联网连接设备的 Censys 平台，截至 12 月 27 日，公共互联网中有超过 87,000 个可能易受攻击的 MongoDB 实例 暴露。

在美国观测到近 2 万台 MongoDB 服务器，其次是中国，接近 1.7 万台，德国略低于 8,000 台。

利用与检测

在云环境中的影响似乎也很严重，云安全平台 Wiz 的遥测数据显示，42% 的可见系统“至少有一个 MongoDB 实例运行在易受 CVE-2025-14847 漏洞影响的版本上”。

Wiz 的研究人员指出，他们观察到的实例既包括内部资源，也包括对外暴露的资源。该公司表示 ，他们在野外观察到了 MongoBleed (CVE-2025-14847) 的利用，并建议组织优先打补丁。

虽然未经证实，但一些威胁行为者声称在最近一次对 育碧《彩虹六号：围攻》 在线平台的入侵中使用了 MongoBleed 漏洞。

Recon InfoSec 联合创始人 Eric Capuano 警告称，打补丁只是应对 MongoBleed 问题的一部分，并建议组织还应检查是否存在妥协迹象。

在昨天的一篇博客中，该研究人员解释了一种检测方法，其中包括查找“具有数百或数千个连接但零元数据事件的源 IP”。

然而，卡普阿诺警告说，目前的检测是基于现有的概念性漏洞利用代码，攻击者可以修改该代码以包含伪造的客户端元数据或降低利用速度。

Florian Roth——THOR APT 扫描器和数千条 YARA 规则的创建者——利用 Capuano 的研究创建了 MongoBleed 检测器 ，该工具解析 MongoDB 日志并识别可能针对 CVE-2025-14847 漏洞的利用行为。

安全无损压缩工具

十天前，MongoDB 修复了 MongoBleed 漏洞，强烈建议管理员升级到安全版本（8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30）。

厂商警告称，多款 MongoDB 版本受到 MongoBleed（CVE-2025-14847）影响，其中一些是早在 2017 年末发布的遗留版本，另一些则是最近的 2025 年 11 月发布的版本：

• MongoDB 8.2.0 到 8.2.3
• MongoDB 8.0.0 到 8.0.16
• MongoDB 7.0.0 到 7.0.26
• MongoDB 6.0.0 到 6.0.26
• MongoDB 5.0.0 到 5.0.31
• MongoDB 4.4.0 到 4.4.29
• 所有 MongoDB Server v4.2 版本
• 所有 MongoDB Server v4.0 版本
• 所有 MongoDB Server v3.6 版本

MongoDB Atlas（完全托管的多云数据库服务）的客户已自动接收补丁 ，无需采取任何操作。

MongoDB 表示该漏洞没有变通方法。如果无法升级到新版本，厂商建议客户在服务器上禁用 zlib 压缩并提供了相关操作说明。

无损数据压缩的安全替代方案包括 Zstandard（zstd）和 Snappy（原名 Zippy），分别由 Meta 和 Google 维护。

~~poc:https://github.com/joe-desimone/mongobleed~~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 《MongoDB 严重漏洞，87K 服务器暴露》