MongoDB爆嚴重漏洞MongoBleed，全球8.7萬臺服務(wù)器遭殃

哈嘍，大家好，今天小墨這篇評論，主要來分析MongoDB數(shù)據(jù)庫爆出的MongoBleed漏洞，以及全球數(shù)萬臺服務(wù)器面臨的安全威脅。

MongoDB最近修補了編號為CVE-2025-14847的漏洞，這個漏洞影響多個MongoDB服務(wù)器版本。未認證的攻擊者可以以較低的復(fù)雜度遠程利用這個漏洞，可能導(dǎo)致敏感數(shù)據(jù)和憑證的外泄。

這個漏洞被稱為MongoBleed，名字來源于臭名昭著的Heartbleed漏洞，CVSS得分為8.7。MongoDB公司聲明，托管在MongoDB Atlas上的實例已經(jīng)打了補丁，自托管的MongoDB如果不更新仍然存在風險。

MongoBleed源于MongoDB服務(wù)器基于zlib的網(wǎng)絡(luò)消息解壓縮邏輯中的一個缺陷，這個邏輯在認證之前就被處理了。通過發(fā)送畸形的壓縮網(wǎng)絡(luò)數(shù)據(jù)包，攻擊者可以觸發(fā)服務(wù)器錯誤處理解壓縮的消息長度，導(dǎo)致返回給客戶端的是未初始化的堆內(nèi)存。

根據(jù)Wiz公司的數(shù)據(jù)，42%的云環(huán)境中至少有一個易受攻擊的MongoDB實例，包括公開暴露和內(nèi)部資源。Censys平臺報告稱全球大約有8.7萬臺服務(wù)器存在潛在風險。由于該漏洞可以在沒有認證或用戶交互的情況下被利用，暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)庫服務(wù)器面臨特別高的風險。

根據(jù)Censys平臺的統(tǒng)計，截至12月27日，美國有近2萬臺MongoDB服務(wù)器暴露在公網(wǎng)上，中國以近1.7萬臺排第二，德國接近8000臺。這個分布說明MongoDB在全球范圍內(nèi)被廣泛使用，各國都面臨相當程度的風險敞口。

12月26日，公開的概念驗證代碼已經(jīng)可以獲取，安全研究人員在披露后不久就報告了野外利用的情況。12月29日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局已將CVE-2025-14847添加到已知被利用漏洞目錄中，確認存在主動利用。

MongoDB存儲的通常是敏感應(yīng)用和業(yè)務(wù)數(shù)據(jù)，包括個人信息、認證令牌和內(nèi)部服務(wù)詳細信息。配置不當或暴露的MongoDB實例可以被遠程訪問，成為攻擊者的理想目標。像MongoBleed這樣的嚴重漏洞可以在不需要認證的情況下泄露未初始化的內(nèi)存，可能將敏感數(shù)據(jù)暴露給攻擊者。

MongoDB在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中引入了補丁，升級到這些版本可以完全修復(fù)漏洞。在應(yīng)用補丁之前，可以通過分段大幅降低暴露風險：阻止從互聯(lián)網(wǎng)訪問MongoDB實例的TCP 27017端口，只允許明確信任的來源連接。

這個漏洞影響了自2017年以來發(fā)布的所有MongoDB版本。有軟件開發(fā)人員評論說，MongoBleed突出了即使是成熟的數(shù)據(jù)庫，當暴露或未打補丁時，也可能成為關(guān)鍵的攻擊面。預(yù)認證內(nèi)存泄露、主動漏洞攻擊和8.7萬以上暴露實例，提醒我們數(shù)據(jù)庫安全就是基礎(chǔ)設(shè)施安全。

MongoDB補丁版本現(xiàn)在可用于從4.4到8.0的所有支持版本。像Percona Server for MongoDB這樣的分支也受到上游漏洞的影響。組織應(yīng)該立即應(yīng)用安全補丁，或禁用壓縮并限制網(wǎng)絡(luò)暴露，確保數(shù)據(jù)庫安全得到有效保障。