MongoDB曝嚴重漏洞，影響全球8.7萬臺服務器

哈嘍，大家好，今天小墨這篇評論，主要來分析MongoDB數據庫爆出的MongoBleed漏洞，以及全球數萬臺服務器面臨的安全威脅。

MongoDB最近修補了編號為CVE-2025-14847的漏洞，這個漏洞影響多個MongoDB服務器版本。未認證的攻擊者可以以較低的復雜度遠程利用這個漏洞，可能導致敏感數據和憑證的外泄。

這個漏洞被稱為MongoBleed，名字來源于臭名昭著的Heartbleed漏洞，CVSS得分為8.7。MongoDB公司聲明，托管在MongoDB Atlas上的實例已經打了補丁，自托管的MongoDB如果不更新仍然存在風險。

MongoBleed源于MongoDB服務器基于zlib的網絡消息解壓縮邏輯中的一個缺陷，這個邏輯在認證之前就被處理了。通過發送畸形的壓縮網絡數據包，攻擊者可以觸發服務器錯誤處理解壓縮的消息長度，導致返回給客戶端的是未初始化的堆內存。

根據Wiz公司的數據，42%的云環境中至少有一個易受攻擊的MongoDB實例，包括公開暴露和內部資源。Censys平臺報告稱全球大約有8.7萬臺服務器存在潛在風險。由于該漏洞可以在沒有認證或用戶交互的情況下被利用，暴露在互聯網上的數據庫服務器面臨特別高的風險。

根據Censys平臺的統計，截至12月27日，美國有近2萬臺MongoDB服務器暴露在公網上，中國以近1.7萬臺排第二，德國接近8000臺。這個分布說明MongoDB在全球范圍內被廣泛使用，各國都面臨相當程度的風險敞口。

12月26日，公開的概念驗證代碼已經可以獲取，安全研究人員在披露后不久就報告了野外利用的情況。12月29日，美國網絡安全和基礎設施安全局已將CVE-2025-14847添加到已知被利用漏洞目錄中，確認存在主動利用。

MongoDB存儲的通常是敏感應用和業務數據，包括個人信息、認證令牌和內部服務詳細信息。配置不當或暴露的MongoDB實例可以被遠程訪問，成為攻擊者的理想目標。像MongoBleed這樣的嚴重漏洞可以在不需要認證的情況下泄露未初始化的內存，可能將敏感數據暴露給攻擊者。

MongoDB在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中引入了補丁，升級到這些版本可以完全修復漏洞。在應用補丁之前，可以通過分段大幅降低暴露風險：阻止從互聯網訪問MongoDB實例的TCP 27017端口，只允許明確信任的來源連接。

這個漏洞影響了自2017年以來發布的所有MongoDB版本。有軟件開發人員評論說，MongoBleed突出了即使是成熟的數據庫，當暴露或未打補丁時，也可能成為關鍵的攻擊面。預認證內存泄露、主動漏洞攻擊和8.7萬以上暴露實例，提醒我們數據庫安全就是基礎設施安全。

MongoDB補丁版本現在可用于從4.4到8.0的所有支持版本。像Percona Server for MongoDB這樣的分支也受到上游漏洞的影響。組織應該立即應用安全補丁，或禁用壓縮并限制網絡暴露，確保數據庫安全得到有效保障。