2025年12月,MongoDB官方披露 CVE-2025-14847 MongoDB Zlib 压缩协议堆内存信息泄露漏洞。由于在Zlib压缩协议头中存在长度字段不匹配的问题,攻击者可利用未经验证的客户端读取未初始化的堆内存,造成信息泄漏。
影响范围
8.2.0 <= MongoDB Server <= 8.2.2
8.0.0 <= MongoDB Server <= 8.0.16
7.0.0 <= MongoDB Server <= 7.0.27
6.0.0 <= MongoDB Server <= 6.0.26
5.0.0 <= MongoDB Server <= 5.0.31
4.4.0 <= MongoDB Server <= 4.4.29
MongoDB Server 4.2.*
MongoDB Server 4.0.*
MongoDB Server 3.6.*
安全版本
MongoDB Server 8.2.3
MongoDB Server 8.0.17
MongoDB Server 7.0.28
MongoDB Server 6.0.27
MongoDB Server 5.0.32
MongoDB Server 4.4.30
具体官网没看到对应版本的下载,可以按照如下jira方案,直接到GITHUB下载对应的项目分支,自行构建
