💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
MongoDB修复了CVE-2025-14847漏洞,该漏洞影响多个版本,允许未认证攻击者远程泄露敏感数据,CVSS评分为8.7。MongoDB Atlas已修复,自托管版本需更新,建议立即应用补丁或禁用压缩。
🎯
关键要点
- MongoDB修复了CVE-2025-14847漏洞,该漏洞影响多个版本,允许未认证攻击者远程泄露敏感数据。
- 该漏洞的CVSS评分为8.7,因不当处理zlib压缩的网络流量而被称为MongoBleed。
- 攻击者可以通过发送畸形的压缩网络数据包,触发服务器错误处理解压缩消息长度,导致未初始化的堆内存泄露。
- MongoDB Atlas的托管实例已修复,但自托管版本仍需更新,建议立即应用补丁或禁用压缩。
- 42%的云环境中至少有一个易受攻击的MongoDB实例,全球约有87,000台服务器可能暴露。
- 该漏洞影响自2017年以来发布的所有MongoDB版本,显示出即使成熟的数据库在暴露或未修补时也可能成为关键攻击面。
- MongoDB的修复版本现已提供给所有支持的版本,从4.4到8.0,相关的分支如Percona Server for MongoDB也受到影响。
❓
延伸问答
MongoBleed漏洞是什么?
MongoBleed漏洞是CVE-2025-14847,允许未认证攻击者通过不当处理zlib压缩的网络流量远程泄露敏感数据,CVSS评分为8.7。
MongoDB的哪些版本受到MongoBleed漏洞的影响?
该漏洞影响自2017年以来发布的所有MongoDB版本,包括自托管和托管实例。
如何修复MongoBleed漏洞?
建议立即应用MongoDB发布的安全补丁,或禁用压缩以降低风险。
MongoBleed漏洞的利用难度如何?
该漏洞的利用难度较低,攻击者只需连接到数据库,无需认证即可进行攻击。
MongoDB Atlas是否已经修复了MongoBleed漏洞?
是的,MongoDB Atlas的托管实例已经修复了该漏洞。
MongoBleed漏洞对云环境的影响有多大?
约42%的云环境中至少有一个易受攻击的MongoDB实例,全球约有87,000台服务器可能暴露。
➡️
