Goby 漏洞安全通告|MongoDB Zlib 信息泄露漏洞(CVE-2025-14847)

漏洞名称:MongoDB Zlib 信息泄露漏洞(CVE-2025-14847)

风险等级:

严重

漏洞描述:

MongoDB 是一款由 MongoDB, Inc. 开发和维护的开源 NoSQL 文档型数据库,广泛应用于 Web 应用、移动应用及大数据场景。MongoDB Server 作为其核心服务端组件,负责数据存储、查询处理及网络通信等关键功能。

该漏洞源于 MongoDB Server 在启用 Zlib 压缩协议的情况下,处理 Zlib 压缩协议头时对长度字段校验缺失,导致在特定条件下解压逻辑会读取未初始化的堆内存区域。攻击者无需认证即可通过精心构造的请求触发漏洞,可能导致敏感信息泄露,如内存中的凭据、会话信息或内部数据,从而获取 MongoDB Server 进程中的堆内存数据,对数据库系统的机密性造成威胁。目前该漏洞PoC和技术细节已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

FOFA自检语句:

app="MongoDB"

受影响版本:

8.2.0 <= MongoDB Server <= 8.2.2

8.0.0 <= MongoDB Server <= 8.0.16

7.0.0 <= MongoDB Server <= 7.0.27

6.0.0 <= MongoDB Server <= 6.0.26

5.0.0 <= MongoDB Server <= 5.0.31

4.4.0 <= MongoDB Server <= 4.4.29

MongoDB Server 4.2.* 所有版本

MongoDB Server 4.0.* 所有版本

MongoDB Server 3.6.* 所有版本

临时修复方案:

官方已发布安全更新,建议受影响用户立即升级至以下已修复版本:

MongoDB Server 8.2.3

MongoDB Server 8.0.17

MongoDB Server 7.0.28

MongoDB Server 6.0.27

MongoDB Server 5.0.32

MongoDB Server 4.4.30

漏洞检测工具:

鉴于该漏洞影响范围较大,建议优先处置排查,Goby EXP效果如视频演示如下:

相关推荐
tuddy7894644 分钟前
Codex++ 安全边界探秘:从模型能力到风险防御
人工智能·python·安全
hbugs00110 分钟前
【案例分享】全网首个华三数据中心流量可视化实验,基于EVE-NG V7平台
网络·网络协议·安全·devops·eve-ng
深盾科技_Virbox11 分钟前
深盾科技·Virbox产品体系全景解读:软件安全如何从加密锁走向全生命周期
java·大数据·算法·安全·软件需求
阿拉斯攀登1 小时前
向量数据库选型:Milvus vs Chroma vs Elasticsearch
数据库·elasticsearch·milvus·知识库·rag·个人知识库
云边云科技_云网融合1 小时前
零信任安全:数字化时代的企业防护新范式
人工智能·安全·ai
彦为君1 小时前
Redis最新版本特性
java·数据库·redis·算法·bootstrap
thinking_talk1 小时前
腾讯云AI Agent安全中心综合评测
人工智能·安全·腾讯云
vigor5121 小时前
MySQL通过Mango实现分库分表
android·数据库·mysql
weixin199701080161 小时前
[特殊字符]《京东订单API(jd.order.detail.get)对接ERP:企业认证+OAuth授权避坑指南》(附Python源码)
java·数据库·python
赵渝强老师1 小时前
【赵渝强老师】高斯数据库(openGauss)的模式
数据库·opengauss·国产数据库·高斯数据库