MongoDB曝高危漏洞MongoBleed，官方紧急发布补丁

12月28日，NoSQL数据库管理系统MongoDB被发现存在一个高危安全漏洞，目前开发方已推出新版本完成修复。所有使用MongoDB或MongoDB Server的开发者及系统管理员应尽快将产品升级至最新版本，以防范潜在风险。

根据网络安全数据库最新更新信息，该漏洞编号为CVE-2025-14847，代号“MongoBleed”，允许未授权的远程攻击者在无需身份验证的情况下连接服务器，并读取未初始化的内存数据。若目标服务器启用了网络访问且配置了zlib压缩功能，攻击者便可直接利用此漏洞实施入侵。

值得注意的是，该漏洞在数据解压阶段即可触发，早于身份验证流程，因此攻击者有可能在完成认证前就实现任意代码执行，进一步控制服务器系统。

此次漏洞影响范围覆盖多个历史版本，包括8.2.0至8.2.3、8.0.0至8.0.16、7.0.0至7.0.26、6.0.0至6.0.26、5.0.0至5.0.31以及4.4.0至4.4.29版本的MongoDB；此外，4.2、4.0和3.6版本的MongoDB Server同样受到波及。

目前官方已发布对应补丁，并建议用户立即升级到以下安全版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32以及4.4.30。

对于暂时无法完成版本升级的系统管理员，可采取以下临时措施减轻安全风险：关闭zlib压缩功能，改用snappy、zstd或不启用压缩；通过防火墙规则、安全组策略或Kubernetes NetworkPolicy严格限制对MongoDB服务的网络访问；同时清除任何非必要的公网暴露面，缩小攻击入口。