结合aikido网安数据库昨天更新,该漏洞被标记为CVE-2025-14847(亚汇网注:代号“MongoBleed”),可让未经身份验证的网络攻击者侵入服务器,提取未初始化的内存片段。如果服务器开启了网络访问并启用zlib压缩,那黑客就不需要任何凭据即可启用漏洞。同时,由于该漏洞可在消息解压阶段、身份验证前触发,因此黑客可以在入侵的服务器中执行任意代码。本次漏洞的影响范围相当广泛,涵盖8.2.0-8.2.3版、8.0.0-8.0.16版、7.0.0-7.0.26版、6.0.0-6.0.26版、5.0.0-5.0.31版、4.4.0-4.4.29版MongoDB;同时4.2版、4.0版,以及3.6版MongoDBServer也受到对应影响。MongoDB目前已发布修复补丁,官方强烈建议用户升级至以下修复版本:8.2.38.0.177.0.286.0.275.0.324.4.30如果管理员暂时无法将MongoDB更新到最新版本,也可以使用以下临时缓解措施来降低影响:禁用zlib压缩,改用snappy、zstd或不启用压缩通过防火墙、安全组或KubernetesNetworkPolicy限制MongoDB访问网络移除任何不必要的公网暴露广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
免责声明:本文章仅代表作者个人观点,不代表亚汇网立场,亚汇网仅提供信息展示平台。
更多行情分析及广告投放合作加微信: hollowandy
