一、基本情况
MongoDB是一款基于C++开发的开源NoSQL数据库系统,广泛应用于现代Web应用程序。
二、漏洞描述
MongoDB存在未授权内存泄露漏洞(CVE-2025-14847)。在message_compressor_zlib.cpp中,原代码使用output.length()返回已分配的内存大小,而非实际解压缩数据的长度。攻击者可通过发送格式错误的网络数据包,触发未初始化堆内存的读取,从而导致敏感信息泄露。
三、影响范围
MongoDB Server 8.2.0 - 8.2.2
MongoDB Server 8.0.0 - 8.0.16
MongoDB Server 7.0.0 - 7.0.27
MongoDB Server 6.0.0 - 6.0.26
MongoDB Server 5.0.0 - 5.0.31
MongoDB Server 4.4.0 - 4.4.29
MongoDB Server 4.2.0及以上版本
MongoDB Server 4.0.0及以上版本
MongoDB Server 3.6.0及以上版本
四、修复建议
升级至官方修复版本:
8.2.x用户升级至8.2.3
8.0.x用户升级至8.0.17
7.0.x用户升级至7.0.28
6.0.x用户升级至6.0.27
5.0.x用户升级至5.0.32
4.4.x用户升级至4.4.30
