MongoDB高危漏洞曝光，无需验证即可执行任意代码攻击

MongoDB出现严重漏洞，攻击者可利用该漏洞无需验证即可执行任意代码，对系统安全构成严重威胁，该漏洞可能导致黑客入侵并控制受影响的系统，从而造成数据泄露、系统瘫痪等严重后果，建议用户及时安装MongoDB官方发布的补丁，加强安全防护措施，避免潜在风险。

12月28日消息，NoSQL数据库管理系统MongoDB最近出现高危漏洞，目前官方已经发布新版本进行修复，使用MongoDB、MongoDBServer的开发者或IT管理员应立即升级到最新版本。
结合aikido网安数据库昨天更新，该漏洞被标记为CVE-2025-14847（注：代号“MongoBleed”），可让未经身份验证的网络攻击者侵入服务器，提取未初始化的内存片段。如果服务器开启了网络访问并启用zlib压缩，那黑客就不需要任何凭据即可启用漏洞。同时，由于该漏洞可在消息解压阶段、身份验证前触发，因此黑客可以在入侵的服务器中执行任意代码。本次漏洞的影响范围相当广泛，涵盖8.2.0-8.2.3版、8.0.0-8.0.16版、7.0.0-7.0.26版、6.0.0-6.0.26版、5.0.0-5.0.31版、4.4.0-4.4.29版MongoDB；同时4.2版、4.0版，以及3.6版MongoDBServer也受到对应影响。MongoDB目前已发布修复补丁，官方强烈建议用户升级至以下修复版本：

8.2.38.0.177.0.286.0.275.0.324.4.30

如果管理员暂时无法将MongoDB更新到最新版本，也可以使用以下临时缓解措施来降低影响：

禁用zlib压缩，改用snappy、zstd或不启用压缩通过防火墙、安全组或KubernetesNetworkPolicy限制MongoDB访问网络移除任何不必要的公网暴露