一款影响多个 MongoDB 版本的高危漏洞—— MongoBleed（CVE-2025-14847）正被黑客在野活跃利用，目前全球公网暴露的潜在易受攻击服务器已超 8 万台。

该漏洞的公开利用工具及相关技术细节已被披露，攻击者可借助此漏洞，从暴露的 MongoDB 服务器中远程窃取密钥、凭证及其他敏感数据。

该漏洞的 CVSS 评分达 8.7 分，被列为 " 紧急修复级别 "。自 12 月 19 日起，自托管 MongoDB 实例的修复补丁已正式发布。

漏洞利用原理：内存数据泄露

MongoBleed 漏洞的根源在于 MongoDB 服务器对 zlib 库处理网络数据包（用于无损数据压缩）的逻辑缺陷。

Ox Security 的研究人员解释，该漏洞的核心问题是：MongoDB 在处理网络消息时，返回的是 " 分配的内存大小 "，而非 " 解压后的数据长度 "。

攻击者可发送构造畸形的网络消息，谎报解压后的数据尺寸，诱使服务器分配更大的内存缓冲区。在此过程中，服务器会将包含敏感信息的内存数据泄露给攻击者。

通过这种方式泄露的敏感信息包括但不限于：账号凭证、API 密钥 / 云服务密钥、会话令牌、个人身份信息（PII）、内部日志、配置文件、路径信息及客户端相关数据。 

由于网络消息的解压过程发生在身份认证之前，攻击者利用 MongoBleed 漏洞无需提供有效的登录凭证，攻击门槛极低。

这款名为 "MongoBleed" 的公开 PoC 利用工具由 Elastic 安全研究员开发，其核心功能就是窃取内存中的敏感数据。该 PoC 工具有效且操作简单：" 只需获取 MongoDB 实例的 IP 地址，就能开始挖掘内存中的数据库密码（明文存储）、AWS 密钥等信息。"

MongoBleed 漏洞利用程序致敏感信息泄露

据网络设备探测平台 Censys 数据，截至 12 月 27 日，全球公网暴露的潜在易受攻击 MongoDB 实例已达 8.7 万台。

在野利用现状与检测方案

云安全平台 Wiz 的遥测数据显示，该漏洞对云环境的影响同样严重—— 42% 的可见系统中 " 至少存在一个受 CVE-2025-14847 漏洞影响的 MongoDB 实例 "。

这些实例既包括内部资源，也涵盖公网暴露节点。目前已监测到 MongoBleed（CVE-2025-14847）的在野利用行为，建议企业优先完成补丁更新。

另有未经证实的消息称，部分威胁者宣称在近期育碧《彩虹六号：围攻》在线平台入侵事件中，就利用了 MongoBleed 漏洞。

补丁更新仅为应对 MongoBleed 漏洞的一部分，企业还需排查是否已遭入侵。安全研究员提出一种检测方法：重点监控 " 发起数千次连接，但未产生任何元数据事件的源 IP 地址 "。 

不过研究员表示，该检测方法基于当前公开的 PoC 工具逻辑，攻击者可能通过伪造客户端元数据或降低攻击速度等方式规避检测。 

MongoDB 已针对 MongoBleed 漏洞发布修复公告，强烈建议管理员将服务器升级至安全版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30。

官方提示，受该漏洞影响的 MongoDB 版本范围极广：既包括 2017 年底发布的部分旧版本，也涵盖 2025 年 11 月刚发布的新版本，具体如下：

·MongoDB 8.2.0 至 8.2.3

·MongoDB 8.0.0 至 8.0.16

·MongoDB 7.0.0 至 7.0.26

·MongoDB 6.0.0 至 6.0.26

·MongoDB 5.0.0 至 5.0.31

·MongoDB 4.4.0 至 4.4.29

·所有 MongoDB Server v4.2 版本

·所有 MongoDB Server v4.0 版本

·所有 MongoDB Server v3.6 版本  

MongoDB Atlas（全托管多云数据库服务）的用户无需手动操作，官方已自动完成补丁更新。MongoDB 表示，该漏洞暂无临时规避方案。若暂时无法升级版本，建议用户在服务器上禁用 zlib 压缩功能，官方已提供具体操作指南。