【漏洞通告】MongoDB 堆内存信息泄露漏洞风险通告（CVE-2025-14847）

2025年12月19日，阿里云安全中心监测到，MongoDB 官方发布安全通告，披露了 Zlib 压缩协议存在堆内存信息泄露漏洞（CVE-2025-14847）。未经身份验证的远程攻击者可通过发送特制的 Zlib 压缩数据包，读取目标服务器堆内存中未初始化的堆内存，导致敏感数据泄漏。

为避免您的业务受影响，阿里云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞情况

MongoDB 是一款面向 Web 应用的高性能、可扩展数据库，采用分布式存储架构。据官方描述，受影响的 MongoDB Server 版本在处理使用 Zlib 压缩的协议消息时，对消息头中的长度字段校验不充分。攻击者可构造长度字段与实际压缩数据不一致的特制消息（例如声明长度大于实际数据），发送至服务器后，服务器在解压与解析过程中可能按声明长度从堆内存缓冲区读取超出有效数据范围的内容。这些超出部分的数据是先前残留在堆内存中、未经过初始化的旧数据，从而导致服务器在响应中包含这些本不应被访问的内存残片信息。

影响范围

8.2.0 <= MongoDB Server < 8.2.3

8.0.0 <= MongoDB Server < 8.0.17

7.0.0 <= MongoDB Server < 7.0.28

6.0.0 <= MongoDB Server < 6.0.27

5.0.0 <= MongoDB Server < 5.0.32

4.4.0 <= MongoDB Server < 4.4.30

MongoDB Server 4.2

MongoDB Server 4.0

MongoDB Server 3.6

安全版本

MongoDB Server >= 8.2.3

MongoDB Server >= 8.0.17

MongoDB Server >= 7.0.28

MongoDB Server >= 6.0.27

MongoDB Server >= 5.0.32

MongoDB Server >= 4.4.30

修复建议

1.如您使用了云数据库 MongoDB ，请参考相关公告进行处置。

2.如您使用阿里云自建 MongoDB 服务，请评估业务受影响后，升级至安全版本。缓解措施：

在 MongoDB 服务器上禁用 Zlib 压缩。具体操作方法如下：

可通过为 mongod 或 mongos 进程设置networkMessageCompressors或net.compression.compressors 启动选项，并明确排除 zlib（可使用其它示例安全值：snappy、zstd 或直接设置 disabled 完全禁用），来禁用 Zlib 压缩，从而临时缓解该漏洞。

注：建议您在升级前做好数据备份并经过充分测试，避免出现意外。