一、漏洞概述

漏洞类型	敏感信息泄露
漏洞等级	高
漏洞编号	CVE-2025-14847
漏洞评分	8.7
利用复杂度	低
影响版本	v8.2v8.0v7.0v6.0v5.0v4.4
利用方式	远程
POC/EXP	已公开

近日，网上有相关情报说 "MongoDB 数据库管理系统出现高危漏洞，无需身份验证即可执行任意代码 "。经研判，该漏洞为未授权敏感信息泄露，攻击者可以远程获取 MongoDB 服务器内存中的敏感数据。为避免您的业务受影响，建议您及时开展安全风险自查。

MongoDB 是一款开源、高性能、无模式的文档型 NoSQL 数据库，由 MongoDB Inc.（原 10gen）于 2007 年开发，设计目标是解决传统关系型数据库（RDBMS）在灵活数据存储、水平扩展、高并发等场景下的局限性。它以文档（Document） 为核心存储单元，使用类似 JSON 的 BSON（Binary JSON） 格式，支持动态模式（Schema-less），成为现代应用开发中处理半结构化 / 非结构化数据的首选方案之一。

据描述，MongoDB 在处理 Zlib 压缩协议头时，若长度字段不匹配，可能导致读取未初始化堆内存，造成敏感信息泄露或服务异常。

漏洞影响的产品和版本：

以下 MongoDB Server 版本受影响：

v8.2< 8.2.3

v8.0< 8.0.17

v7.0< 7.0.28

v6.0< 6.0.27

v5.0< 5.0.32

v4.4< 4.4.30

v4.2 / v4.0 / v3.6：≥ 4.2.0 / 4.0.0 / 3.6.0（具体版本未定）

二、漏洞复现

三、资产测绘

据 daydaymap 数据显示互联网存在 4,930,731 个资产，国内风险资产分布情况如下。

立即升级至安全版本：

MongoDB v8.2 → 升级至 ≥ 8.2.3

MongoDB v8.0 → 升级至 ≥ 8.0.17

MongoDB v7.0 → 升级至 ≥ 7.0.28

MongoDB v6.0 → 升级至 ≥ 6.0.27

MongoDB v5.0 → 升级至 ≥ 5.0.32

MongoDB v4.4 → 升级至 ≥ 4.4.30

临时缓解措施：

禁用 Zlib 压缩协议（如非必要）

在网络层部署 WAF，拦截异常压缩请求

启用 MongoDB 审计日志，监控异常连接行为

五、参考链接

https://github.com/advisories/GHSA-4742-mr57-2r9j

https://www.ddpoc.com/DVB-2025-10547.html

原文链接