MongoBleed 漏洞允许攻击者从 MongoDB 的堆内存中读取数据

主要观点总结

MongoDB最近修复了CVE-2025-14847漏洞，这是一个影响多个支持和遗留版本的漏洞。该漏洞被命名为MongoBleed，允许未经身份验证的攻击者泄露未初始化的内存并窃取敏感数据。文章提供了关于此漏洞的详细信息，包括其影响、如何利用、如何检测以及当前状态。

关键观点总结

关键观点1: 漏洞的影响和命名

CVE-2025-14847漏洞允许未经身份验证的攻击者泄露未初始化的内存，可能从受影响的MongoDB服务器窃取敏感数据。该漏洞被命名为MongoBleed，以Heartbleed事件命名，CVSS得分为8.7。

关键观点2: 漏洞的利用和检测

攻击者通过发送畸形的压缩网络数据包触发服务器错误处理解压缩的消息长度，导致返回给客户端未初始化堆内存。一些安全研究人员指出云环境中存在大量易受攻击的MongoDB实例。数据库服务器的风险特别高，因为它们可能暴露在互联网上。此外，可以从日志中检测数据库服务器是否被利用。

关键观点3: 漏洞的来源和修复情况

该漏洞源于MongoDB服务器基于zlib的网络消息解压缩逻辑中的缺陷。受影响的逻辑返回了分配的缓冲区大小而不是实际解压缩数据的长度。该漏洞影响了自2017年以来发布的所有MongoDB版本。MongoDB已经发布了补丁版本，适用于所有支持版本，包括分支如Percona Server for MongoDB。