文章总结： CVE-2025-14847即Mongobleed漏洞PoC发布，源于MongoDBzlib解压缩缺陷，允许无认证攻击者远程窃取敏感内存数据如配置和日志。影响5.0至8.2等多个版本，官方已修复。建议立即升级，或禁用zlib压缩及未授权访问，并监控27017端口异常扫描以防范风险。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,漏洞POC,数据安全,网络安全

Mongobleed 漏洞(CVE-2025-14847)利用工具发布

会杀毒的单反狗

军哥网络安全读报

2025年12月29日 09:01 湖北

导读

针对CVE-2025-14847的一个概念验证 (PoC) 漏洞利用程序被命名为“mongobleed” ，这是一个 MongoDB zlib 解压缩处理中严重的未经身份验证的内存泄漏漏洞。

该漏洞由其创建者 Joe Desimone 称为一种泄露敏感服务器内存的方法，它允许攻击者在没有凭据的情况下远程提取未初始化的数据，从而可能暴露内部日志、系统统计信息等。

该漏洞源于 MongoDB 处理压缩消息时的一个缺陷。攻击者发送一条精心构造的消息，声称其“uncompressedSize”（未压缩大小）被夸大。MongoDB会基于此声明分配一个较大的缓冲区，但 zlib 只会将实际数据解压缩到缓冲区的开头部分。

关键在于，服务器会将整个缓冲区视为有效数据，导致 BSON 解析器将未初始化的内存解释为字段名，直到遇到空字节为止。攻击者可以通过探测不同的偏移量来系统性地泄露内存块。

Desimone 在 GitHub 代码库中解释道：“Mongobleed 通过构造具有不同长度字段的格式错误的 BSON 文档，系统地扫描内存区域。” 每次探测都会揭示诸如 MongoDB WiredTiger 配置、/proc/meminfo 统计信息、Docker 路径、连接 UUID 和客户端 IP 等片段。

受影响的版本跨越多个分支：

| | | | | — | — | — | | MongoDB 系列 | 受影响版本 | 已修复版本 | | 8.2.x | 8.2.0 至 8.2.2 | 8.2.3 或更高版本 | | 8.0.x | 8.0.0 至 8.0.16 | 8.0.17 或更高版本 | | 7.0.x | 7.0.0 至 7.0.27 | 7.0.28 或更高版本 | | 6.0.x | 6.0.0 至 6.0.26 | 6.0.27 或更高版本 | | 5.0.x | 5.0.0 至 5.0.31 | 5.0.32 或更高版本 | | 4.4.x | 4.4.0 至 4.4.29 | 4.4.30 或更高版本 | | 4.2.x | 所有版本 | 暂无可用信息 | | 4.0.x | 所有版本 | 暂无可用信息 | | 3.6.x | 所有版本 | 暂无可用信息 |

Desimone 提供了一个 Docker Compose 配置，用于测试存在漏洞的实例，凸显了漏洞易于复现的特点。演示中泄露的数据总计超过 8700 字节，分布在 42 个数据片段中。

MongoDB已在上游提交中修复了该问题，在缓冲区处理之前会验证解压缩后的长度。OX Security 最先披露了该漏洞，并警告称在云端和容器化部署中存在数据泄露风险。

在 Web 应用、分析和 NoSQL 架构中常见的运行暴露 MongoDB 实例的组织面临着紧急的补丁压力。请禁用未经身份验证的访问，并监控 27017 端口上的异常扫描。

如果无法立即更新，建议在 MongoDB 服务器上禁用 zlib 压缩。方法是启动 mongod 或 mongos 时，使用networkMessageCompressors或net.compression.compressors选项显式地省略 zlib。MongoDB 支持的其他压缩选项包括 snappy 和 zstd。

OP Innovate表示： “CVE-2025-14847 允许远程未经身份验证的攻击者触发 MongoDB 服务器可能从其堆中返回未初始化内存的条件。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他可能帮助攻击者进一步利用该漏洞的数据。”

Desimone（在 X 服务器上的用户名是 @dez__）发布了该代码库，旨在提高公众对此问题的认识。随着此类内存泄漏的不断增多，它凸显了解压缩漏洞作为数据库安全领域日益严重的隐患。

详细信息：

https://github.com/joe-desimone/mongobleed

新闻链接：

Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

今日安全资讯速递

APT事件

Advanced Persistent Threat

网络攻击致法国邮政系统瘫痪，邮政和银行服务在法国全国范围内中断

https://www.techrepublic.com/article/news-la-poste-cyberattack/

Evasive Panda APT通过 AitM 和 DNS 投毒进行恶意软件传播

Evasive Panda APT: Malware Delivery via AitM and DNS Poisoning

复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列

Israeli Organizations Targeted by AV-Themed Malicious Word and PDF Files

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

英国外交部遭受网络攻击

https://www.cybermaterial.com/p/uk-foreign-office-suffers-cyber-attack

一般威胁事件

General Threat Incidents

230万条《连线》杂志记录泄露，另有4000万条记录面临风险

Condé Nast faces major data breach: 2.3M WIRED records leaked, 40M more at risk

Webrat恶意软件通过虚假漏洞利用程序攻击安全爱好者

https://www.cysecurity.news/2025/12/webrat-malware-targets-students-and.html

Everest勒索软件组织声称窃取了超过1TB的克莱斯勒数据

https://hackread.com/everest-ransomware-group-chrysler-data-breach/

日本电商巨头Askul证实RansomHouse勒索软件攻击导致74万条记录泄露

https://www.cysecurity.news/2025/12/askul-confirms-ransomhouse-ransomware.html

被盗的 LastPass 备份将使加密货币盗窃行为持续到 2025 年

Stolen LastPass backups enable crypto theft through 2025

Aflac 证实 6 月份发生数据泄露事件，影响超过 2200 万客户

Aflac confirms June data breach affecting over 22 million customers

TrustWallet Chrome扩展程序遭黑客攻击——用户报告损失数百万美元

Trust Wallet warns users to update Chrome extension after $7M security loss

恶意 Npm 包窃取 WhatsApp 内容

https://www.cybermaterial.com/p/malicious-npm-package-steals-whatsapp

GhostPairing攻击使数百万WhatsApp用户面临风险

https://www.cysecurity.news/2025/12/ghostpairing-attack-puts-millions-of.html

48小时内5.9万台服务器遭黑客攻击

https://www.esecurityplanet.com/threats/59k-servers-hacked-in-48-hours-inside-operation-pcpcat/

育碧《彩虹六号：围攻》服务器漏洞与MongoBleed漏洞有关

Ubisoft Rainbow Six Siege Servers Breach linked to MongoBleed Vulnerability

漏洞事件

Vulnerability Incidents

LangChain核心严重漏洞通过序列化注入泄露密钥

https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

TeamViewer DEX漏洞允许攻击者触发拒绝服务攻击并泄露敏感数据

TeamViewer DEX Vulnerabilities Let Attackers Trigger DoS Attack and Expose Sensitive Data

M-Files漏洞允许攻击者捕获其他活跃用户的会话令牌

M-Files Vulnerability Let Attacker Capture Session Tokens of Other Active Users

Mongobleed 漏洞(CVE-2025-14847)利用工具发布

Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes Sensitive Data

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《Mongobleed 漏洞(CVE-2025-14847)利用工具发布》