【漏洞通告】mongodb 堆內存信息泄露漏洞風險通告（cve-2025-14847）

2025年12月19日，阿里雲安全中心監測到，MongoDB官方發布安全公告，披露了Zlib壓縮協議存在堆內存信息泄露漏洞（CVE—2025 — 14847）.未經身份驗證的遠程攻擊者可以通過發送特製的Zlib壓縮數據包，讀取目標伺服器堆內存中未初始化的堆內存，導致敏感數據泄露.

為了避免您的業務受到影響，阿里雲安全建議您及時開展安全自檢，如在受影響範圍內，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞情況 （ Vulnerability Conditions

MongoDB是一個面向Web應用的高性能、可擴展資料庫，採用分布式存儲架構。據官方描述，受影響的MongoDB Server版本在處理使用Zlib壓縮的協議消息時，對消息頭中的長度欄位驗證不充分。攻擊者可以構造長度欄位與實際壓縮數據不一致的特製消息。（例如，聲明長度大於實際數據），發送到伺服器後，伺服器在解壓和解析過程中可能按聲明長度從堆內存緩衝區讀取超出有效數據範圍的內容。這些超出部分的數據是先前殘留在堆內存中，未經初始化的舊數據，從而導致伺服器在響應中包含這些本不應該被訪問的內存殘片信息。

影響範圍

8.2.0 版本<= MongoDB Server< 8.2.3

8.0.0< = MongoDB 伺服器<8.0.17

7.0.0< = MongoDB 伺服器<7.0.28

6.0.0< = MongoDB 伺服器<6.0.27

5.0.0< = MongoDB 伺服器<5.0.32

4.4.0< = MongoDB 伺服器<4.4.30

MongoDB 伺服器

MongoDB Server 4.0

MongoDB 伺服器 3.6

安全版本

MongoDB 伺服器>= 8.2.3

MongoDB 伺服器>=8.0.17

MongoDB 伺服器>= 7.0.28

MongoDB 伺服器>= 6.0.27

MongoDB 伺服器>= 5.0.32

MongoDB 服務>=4.4.30

修復建議

1.如果您使用了雲資料庫MongoDB ，請參考相關公告進行處置。

2.如果您使用阿里雲自建MongoDB服務，請評估業務受影響後升級到安全版本。緩解措施：

在 MongoDB 伺服器上禁用 Zlib 壓縮. 具體操作方法如下：

通過為mongod或mongos進程設置networkMessageCompressors或net.compression.compressors啟動選項，並明確排除zlib（可使用其他示例安全值：snappy，zstd或直接設置disabled完全禁用），可以暫時緩解Zlib壓縮。

註：建議您在升級前做好數據備份並經過充分測試，避免出現意外。