更新時間:2025/12/31 16:24:10
發佈時間:2025/12/31 16:24:10
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
近日MongoDB發布安全公告,指出其伺服器產品存在一項記憶體資訊洩漏漏洞(CVE-2025-14847,代號MongoBleed)。此漏洞源於伺服器在解析zlib壓縮封包時,對解壓縮後資料長度檢核不完整,使未經身分驗證的攻擊者可自遠端透過傳送特製封包,觸發伺服器回傳未初始化的記憶體內容,進而導致敏感資訊洩漏。
二、已揭露攻擊活動說明
1. GitHub已有CVE-2025-14847的PoC程式碼。[2]
2. Wiz表示已觀察此漏洞被利用於攻擊行為。[3]
▶ 漏洞資訊
⌵
名稱:
CVSS向量: CVE-2025-14847[4]
描述:
使用版本:CVSS 3.1
分析分數:7.5
參考來源: MongoDB
▶ 影響平台
⌵
影響平台-系統:
1. MongoDB Server 8.2.0至8.2.2版本受影響,建議升級至8.2.3或以上版本。
2. MongoDB Server 8.0.0至 8.0.16版本受影響,建議升級至8.0.17或以上版本。
3. MongoDB Server 7.0.0至7.0.26版本受影響,建議升級至7.0.28或以上版本。
4. MongoDB Server 6.0.0至6.0.26,建議升級至6.0.27或以上版本。
5. MongoDB Server 5.0.0至5.0.31版本受影響,建議升級至5.0.32或以上版本。
6. MongoDB Server 4.4.0至4.4.29版本受影響,建議升級至4.4.30或以上版本。
7. 所有MongoDB Server 4.2.X、4.0.X與3.6.X版本受影響,已停止維護,不再提供安全更新。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 若無法立即進行升級,官方說明可於啟動mongod或mongos時,透過設定networkMessageCompressors或net.compression.compressors參數,明確排除zlib,以停用MongoDB Server的zlib壓縮機制。建議的安全設定值包括snappy、zstd,或設定為disabled。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://jira.mongodb.org/browse/SERVER-115508 | MongoDB |
| 2 | https://github.com/joe-desimone/mongobleed | GitHub |
| 3 | https://www.wiz.io/blog/mongobleed-cve-2025-14847-exploited-in-the-wild-mongodb | Wiz |
| 4 | https://nvd.nist.gov/vuln/detail/CVE-2025-14847 | NVD |
情資編號:
FISAC-200-202512-0014
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞