近日,网络安全领域传来一则重要消息,知名 NoSQL 数据库管理系统 MongoDB 被曝出现高危漏洞,这一漏洞引发了广泛关注。据悉,该漏洞已被标记为 CVE - 2025 - 14847,代号“MongoBleed”,其严重性不容小觑。
此漏洞危害极大,它允许未经身份验证的网络攻击者轻松侵入服务器。一旦服务器开启了网络访问并且启用了 zlib 压缩,黑客无需任何凭据就能利用该漏洞。更为严重的是,由于该漏洞可在消息解压阶段、身份验证前触发,黑客在成功入侵服务器后,甚至能够执行任意代码,这无疑给数据库安全带来了巨大威胁。
此次漏洞的影响范围极为广泛,多个版本的 MongoDB 都受到了波及。具体来看,8.2.0 - 8.2.3 版、8.0.0 - 8.0.16 版、7.0.0 - 7.0.26 版、6.0.0 - 6.0.26 版、5.0.0 - 5.0.31 版、4.4.0 - 4.4.29 版的 MongoDB 均在其列。4.2 版、4.0 版以及 3.6 版的 MongoDB Server 也未能幸免。
面对如此严峻的形势,MongoDB 官方迅速行动,已经发布了新版本进行修复。官方强烈建议使用 MongoDB、MongoDB Server 的开发者或 IT 管理员立即将系统升级到最新版本,以消除安全隐患。目前官方推荐的修复版本包括 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。
然而,如果管理员暂时无法将 MongoDB 更新到最新版本,也有一些临时缓解措施可供采用。比如,可以禁用 zlib 压缩,转而使用 snappy、zstd 或者不启用压缩;还可以通过防火墙、安全组或 Kubernetes NetworkPolicy 来限制 MongoDB 的网络访问;另外,移除任何不必要的公网暴露也是降低风险的有效方法。
