--- title: "假期提前結束:'MongoDB 的心臟出血'漏洞現正被積極利用" type: "News" locale: "zh-HK" url: "https://longbridge.com/zh-HK/news/271136418.md" description: "根據美國網絡安全和基礎設施安全局的報告,MongoDB Server 中一個高嚴重性漏洞(標識為 CVE-2025-14847)目前正處於積極利用之中。該漏洞被稱為 “MongoBleed”,允許未經身份驗證的遠程攻擊者讀取未初始化的堆內存,可能暴露敏感用户信息。MongoDB 已敦促受影響的用户立即升級到修復版本或禁用 zlib 壓縮。該漏洞影響多個 MongoDB Server 版本,尤其對暴露在互聯網的服務器構成重大風險" datetime: "2025-12-30T19:30:41.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/271136418.md) - [en](https://longbridge.com/en/news/271136418.md) - [zh-HK](https://longbridge.com/zh-HK/news/271136418.md) --- # 假期提前結束:'MongoDB 的心臟出血'漏洞現正被積極利用 根據美國網絡安全和基礎設施安全局的消息,一種高嚴重性 MongoDB 服務器漏洞在聖誕週期間出現了概念驗證,目前正在被積極利用。 如果沒有潛在的嚴重安全漏洞出現來打亂假期氣氛,那就不是假期了,而這個漏洞絕對符合這個標準,有專家稱其為 “基本上是 MongoDB 的 Heartbleed”。 是的,情況非常嚴重。 該漏洞被識別為 CVE-2025-14847,CVSS 評分為 8.7,廣泛使用的開源 MongoDB 服務器中的這個漏洞源於 zlib 壓縮協議頭中的長度字段不匹配。如果利用惡意數據包進行攻擊,未經身份驗證的遠程攻擊者可以讀取未初始化的堆內存。正如 OX Security 在聖誕前夕指出的,這意味着攻擊者可能會暴露用户信息、密碼、API 密鑰等。 "雖然攻擊者可能需要發送大量請求才能收集完整的數據庫,並且某些數據可能毫無意義,但攻擊者擁有的時間越長,收集到的信息就越多,"OX 表示。你知道的——就像他們在聖誕假期期間,威脅監控者忙着喝蛋奶酒時。 被 Elastic Security 研究員命名為 MongoBleed 的這個漏洞,實際上是在 12 月 15 日被識別出來,並在此後不久被 MongoDB 團隊修補。它影響了廣泛的 MongoDB 服務器版本,MongoDB 敦促受影響的用户立即升級到修復版本。 "如果您無法立即升級,請在 MongoDB 服務器上禁用 zlib 壓縮,"MongoDB 製造商敦促道。 - Mongoose 庫中的關鍵缺陷使 MongoDB 暴露於數據竊賊和代碼執行的風險 - MongoDB 通過貶低 PostgreSQL 來強調其人工智能能力 - IT 世界發展迅速,為什麼管理員升級如此緩慢? - MongoDB 反駁了其不適合業務關鍵工作負載的説法 任何暴露在互聯網的運行着易受攻擊版本的 MongoDB 服務器都面臨攻擊風險,OX 指出,通過攻擊者的橫向移動可以接觸到的私有服務器也容易被攻擊,如果它們被發現的話。 該漏洞的具體情況源於 MongoDB 的網絡傳輸層,OX 指出,在解壓網絡消息時,可以強制分配或處理不足大小的緩衝區。在修復該問題的補丁部署之前,MongoDB 使用的 zlib 消息壓縮器被編碼為返回輸出長度,而不僅僅是解壓數據的實際長度,這意味着它可能被欺騙為泄露分配內存中的任何內容,而不僅僅是解壓數據的真實長度。哎呀。 "這種類型的漏洞是惡意網絡行為者常用的攻擊向量,對聯邦企業構成重大風險,"CISA 在其週一的 MongoBleed 已知被利用漏洞目錄中指出。 歡迎回來,無論您是按計劃返回還是處理這個在假期期間被積極利用的漏洞,它在聖誕老人準備送禮物時出現在網絡上。希望他使用不同的數據庫提供商,或者他的系統已經修補。® ### 相關股票 - [MDB.US](https://longbridge.com/zh-HK/quote/MDB.US.md) ## 相關資訊與研究 - [MongoDB 首席財務官 Michael J. Berry 報告出售了 4,998 股普通股,價值 176 萬美元](https://longbridge.com/zh-HK/news/290244020.md) - [MongoDB 首席財務官 Michael J. Berry 出售了價值 165 萬美元的普通股股份](https://longbridge.com/zh-HK/news/290101573.md) - [Dockside LLC 向 MongoDB, Inc. $MDB 投資了 189 萬美元](https://longbridge.com/zh-HK/news/289685188.md) - [在上調指引以及利率對成長股施壓之後,對 MongoDB (MDB) 的估值進行檢查](https://longbridge.com/zh-HK/news/289241367.md) - [MongoDB 是最新的 SaaS 末日受害者,但它表示 “今天不行”](https://longbridge.com/zh-HK/news/288582692.md)