【漏洞預警】MongoDB 存在高風險安全漏洞 (CVE-2025-14847),請儘速確認並進行修補
內容說明
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-200-202601-00000030
研究人員發現 MongoDB 存在 不當處理長度不一致參數(Improper Handling of Length Parameter Inconsistency) 漏洞(CVE-2025-14847)。
未經身分鑑別之遠端攻擊者可透過傳送特製之 zlib 壓縮通訊封包, 觸發系統於解壓縮資料時未適當驗證參數長度, 進而於解析文件流程中讀取未初始化之記憶體內容, 造成敏感資訊洩漏。
本漏洞已遭實際利用,請儘速確認並進行修補。
影響平台
- MongoDB 8.2.0 – 8.2.2
- MongoDB 8.0.0 – 8.0.16
- MongoDB 7.0.0 – 7.0.26
- MongoDB 6.0.0 – 6.0.26
- MongoDB 5.0.0 – 5.0.31
- MongoDB 4.4.0 – 4.4.29
- MongoDB Server 4.2(所有版本)
- MongoDB Server 4.0(所有版本)
- MongoDB Server 3.6(所有版本)
建議措施
- 升級至 MongoDB 8.2.3
- 升級至 MongoDB 8.0.17
- 升級至 MongoDB 7.0.28
- 升級至 MongoDB 6.0.27
- 升級至 MongoDB 5.0.32
- 升級至 MongoDB 4.4.30
若無法立即更新,請依官方說明進行緩解措施: https://jira.mongodb.org/browse/SERVER-115508