【安全资讯】MongoDB高危漏洞“MongoBleed”遭主动利用，数据泄露风险激增

概要：

在圣诞假期期间，网络安全领域再次拉响警报。美国网络安全和基础设施安全局（CISA）警告，一个被专家称为“MongoDB版心脏滴血”的高危漏洞正被主动利用。该漏洞编号为CVE-2025-14847，CVSS评分高达8.7，影响广泛使用的开源数据库MongoDB Server，可能导致未授权攻击者读取服务器内存中的敏感信息，对暴露在互联网上的系统构成严重威胁。

主要内容：

该漏洞源于MongoDB网络传输层中zlib压缩协议头的长度字段不匹配问题。在修复补丁发布前，MongoDB使用的zlib消息压缩器被编码为返回输出长度，而非解压数据的实际长度。攻击者可借此发送畸形数据包，诱使服务器在处理网络消息解压缩时，分配或处理尺寸不足的缓冲区，从而读取未初始化的堆内存。

尽管攻击者可能需要发送大量请求才能收集完整数据库，且部分数据可能无意义，但攻击持续时间越长，能获取的敏感信息就越多，包括用户信息、密码和API密钥等。这不仅影响直接暴露于互联网的MongoDB服务器，攻击者通过横向移动可达的内部服务器同样面临风险。

CISA已将此漏洞列入其已知被利用漏洞目录，并指出此类漏洞是恶意网络行为者的常用攻击载体，对联邦企业构成重大风险。MongoDB官方已发布补丁，敦促受影响用户立即升级至修复版本，若无法立即升级，则应在服务器上禁用zlib压缩功能以作缓解。