MongoDB数据库出现高危安全漏洞 无需身份验证即可执行任意代码

流行的非关系型数据库管理系统 MongoDB 日前出现高危安全漏洞，在漏洞披露前 MongoDB 已经发布新版本进行修复，所以使用 MongoDB 及 MongoDB Server 的开发者或企业应当立即升级到新版本。

该漏洞编号为 CVE-2025-14847，影响多个 MongoDB 和 MongoDB Server 版，漏洞原因是对长度参数不一致的处理不当造成，这可能允许未经身份验证的攻击者执行任意代码并接管目标设备。

MongoDB 安全团队称，客户端可以利用服务器端 zlib 实现的漏洞在无需向服务器进行身份验证的情况下返回未初始化的堆内存，强烈建议尽快升级到已修复的版本。

为了立即修复漏洞并阻止潜在的攻击，MongoDB 建议立即升级到以下不受影响的版本：

• MongoDB 8.2.3

• MongoDB 8.0.17

• MongoDB 7.0.28

• MongoDB 6.0.27

• MongoDB 5.0.32

• MongoDB 4.4.30

以下是所有受影响的版本：

• MongoDB 8.2.0 ~ 8.2.3

• MongoDB 8.0.0 ~ 8.0.16

• MongoDB 7.0.0 ~ 7.0.26

• MongoDB 6.0.0 ~ 6.0.26

• MongoDB 5.0.0 ~ 5.0.31

• MongoDB 4.4.0 ~ 4.4.29

• 所有 MongoDB Server v4.2 系列版本

• 所有 MongoDB Server v4.0 系列版本

• 所有 MongoDB Server v3.6 系列版本

如果暂时无法立即升级：

如果暂时无法升级到新版本修复漏洞，变通措施是在启动 mongod 或 mongos 时，使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib，这样可以禁用服务器上 zlib 压缩。

via MongoDB

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/