💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
MongoDB修复了CVE-2025-14847漏洞,该漏洞影响多个版本,允许未认证攻击者远程泄露敏感数据,CVSS评分为8.7。MongoDB Atlas已修复,自托管版本需更新,建议立即应用补丁或禁用压缩。
🎯
关键要点
- MongoDB修复了CVE-2025-14847漏洞,该漏洞影响多个版本,允许未认证攻击者远程泄露敏感数据。
- 该漏洞的CVSS评分为8.7,因不当处理zlib压缩的网络流量而被称为MongoBleed。
- 攻击者可以通过发送畸形的压缩网络数据包,触发服务器错误处理解压缩消息长度,导致未初始化的堆内存泄露。
- MongoDB Atlas的托管实例已修复,但自托管版本仍需更新,建议立即应用补丁或禁用压缩。
- 42%的云环境中至少有一个易受攻击的MongoDB实例,全球约有87,000台服务器可能暴露。
- 该漏洞影响自2017年以来发布的所有MongoDB版本,显示出即使成熟的数据库在暴露或未修补时也可能成为关键攻击面。
- MongoDB的修复版本现已提供给所有支持的版本,从4.4到8.0,相关的分支如Percona Server for MongoDB也受到影响。