【安全资讯】MongoDB曝高危RCE漏洞，官方敦促管理员立即修补

概要：

在数字化时代，数据库安全是保障企业核心数据资产的关键防线。近日，全球广泛使用的非关系型数据库MongoDB曝出一个高危远程代码执行（RCE）漏洞，编号为CVE-2025-14847。该漏洞影响范围极广，攻击者无需身份验证即可利用，对全球超过6.25万家客户，包括众多《财富》500强企业的数据安全构成了严重威胁。

主要内容：

此次发现的漏洞CVE-2025-14847源于MongoDB服务器端zlib实现中的长度参数处理不当。攻击者无需与服务器进行身份验证，即可通过客户端利用此缺陷，读取未初始化的堆内存，进而执行任意代码，最终可能完全控制目标服务器。该漏洞影响MongoDB 4.4至8.2的多个主要版本，攻击复杂度低，无需用户交互，使其极易被利用。

MongoDB官方已紧急发布安全公告，强烈建议管理员立即将受影响的数据库升级至已修复的版本，包括MongoDB 8.2.3、8.0.17等。对于无法立即升级的用户，官方提供了临时缓解措施，即通过配置网络消息压缩器选项，在服务器启动时禁用zlib压缩功能，以阻断攻击路径。

值得注意的是，这并非MongoDB首次遭遇严重的RCE漏洞。美国网络安全和基础设施安全局（CISA）早在四年前就将另一个MongoDB RCE漏洞（CVE-2019-10758）列入其已知被利用漏洞目录，并标记为正在被积极利用。此次新漏洞的披露，再次凸显了持续进行漏洞管理和及时打补丁的极端重要性。

该漏洞的成功利用将直接导致服务器被完全接管，攻击者可窃取、篡改或破坏存储在数据库中的敏感业务数据，对依赖MongoDB的金融、科技、政府及云服务等行业造成巨大的运营中断、数据泄露和声誉损失风险。全球管理员必须立即采取行动，评估自身系统风险并应用补丁。