--- title: "假期提前结束:'MongoDB 的心脏出血'漏洞现正被积极利用" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/271136418.md" description: "根据美国网络安全和基础设施安全局的报告,MongoDB Server 中一个高严重性漏洞(标识为 CVE-2025-14847)目前正处于积极利用之中。该漏洞被称为 “MongoBleed”,允许未经身份验证的远程攻击者读取未初始化的堆内存,可能暴露敏感用户信息。MongoDB 已敦促受影响的用户立即升级到修复版本或禁用 zlib 压缩。该漏洞影响多个 MongoDB Server 版本,尤其对暴露在互联网的服务器构成重大风险" datetime: "2025-12-30T19:30:41.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/271136418.md) - [en](https://longbridge.com/en/news/271136418.md) - [zh-HK](https://longbridge.com/zh-HK/news/271136418.md) --- # 假期提前结束:'MongoDB 的心脏出血'漏洞现正被积极利用 根据美国网络安全和基础设施安全局的消息,一种高严重性 MongoDB 服务器漏洞在圣诞周期间出现了概念验证,目前正在被积极利用。 如果没有潜在的严重安全漏洞出现来打乱假期气氛,那就不是假期了,而这个漏洞绝对符合这个标准,有专家称其为 “基本上是 MongoDB 的 Heartbleed”。 是的,情况非常严重。 该漏洞被识别为 CVE-2025-14847,CVSS 评分为 8.7,广泛使用的开源 MongoDB 服务器中的这个漏洞源于 zlib 压缩协议头中的长度字段不匹配。如果利用恶意数据包进行攻击,未经身份验证的远程攻击者可以读取未初始化的堆内存。正如 OX Security 在圣诞前夕指出的,这意味着攻击者可能会暴露用户信息、密码、API 密钥等。 "虽然攻击者可能需要发送大量请求才能收集完整的数据库,并且某些数据可能毫无意义,但攻击者拥有的时间越长,收集到的信息就越多,"OX 表示。你知道的——就像他们在圣诞假期期间,威胁监控者忙着喝蛋奶酒时。 被 Elastic Security 研究员命名为 MongoBleed 的这个漏洞,实际上是在 12 月 15 日被识别出来,并在此后不久被 MongoDB 团队修补。它影响了广泛的 MongoDB 服务器版本,MongoDB 敦促受影响的用户立即升级到修复版本。 "如果您无法立即升级,请在 MongoDB 服务器上禁用 zlib 压缩,"MongoDB 制造商敦促道。 - Mongoose 库中的关键缺陷使 MongoDB 暴露于数据窃贼和代码执行的风险 - MongoDB 通过贬低 PostgreSQL 来强调其人工智能能力 - IT 世界发展迅速,为什么管理员升级如此缓慢? - MongoDB 反驳了其不适合业务关键工作负载的说法 任何暴露在互联网的运行着易受攻击版本的 MongoDB 服务器都面临攻击风险,OX 指出,通过攻击者的横向移动可以接触到的私有服务器也容易被攻击,如果它们被发现的话。 该漏洞的具体情况源于 MongoDB 的网络传输层,OX 指出,在解压网络消息时,可以强制分配或处理不足大小的缓冲区。在修复该问题的补丁部署之前,MongoDB 使用的 zlib 消息压缩器被编码为返回输出长度,而不仅仅是解压数据的实际长度,这意味着它可能被欺骗为泄露分配内存中的任何内容,而不仅仅是解压数据的真实长度。哎呀。 "这种类型的漏洞是恶意网络行为者常用的攻击向量,对联邦企业构成重大风险,"CISA 在其周一的 MongoBleed 已知被利用漏洞目录中指出。 欢迎回来,无论您是按计划返回还是处理这个在假期期间被积极利用的漏洞,它在圣诞老人准备送礼物时出现在网络上。希望他使用不同的数据库提供商,或者他的系统已经修补。® ### 相关股票 - [MDB.US](https://longbridge.com/zh-CN/quote/MDB.US.md) ## 相关资讯与研究 - [MongoDB 首席财务官 Michael J. Berry 报告出售了 4,998 股普通股,价值 176 万美元](https://longbridge.com/zh-CN/news/290244020.md) - [AI 颠覆焦虑退散?MongoDB 业绩与指引全线超预期 软件股集体回春](https://longbridge.com/zh-CN/news/287987109.md) - [MongoDB 首席财务官 Michael J. Berry 出售了价值 165 万美元的普通股股份](https://longbridge.com/zh-CN/news/290101573.md) - [Dockside LLC 向 MongoDB, Inc. $MDB 投资了 189 万美元](https://longbridge.com/zh-CN/news/289685188.md) - [Citi 大幅上调 MongoDB 目标价至 450 美元 看好 AI 驱动增长](https://longbridge.com/zh-CN/news/286143982.md)