美国和澳大利亚的网络安全机构警告称，MongoDB 和 MongoDB Server 中存在一个关键漏洞正被积极利用，对运行暴露数据库基础设施的组织构成威胁。

该漏洞编号为 CVE-2025-14847，被称为“MongoBleed”，美国网络安全和基础设施安全局 (CISA) 将其描述为长度参数不一致处理不当漏洞。CISA 已发出警告，要求所有联邦民事机构在 1 月 19 日前应用补丁程序。澳大利亚信号局也发出类似警告，称已发现该漏洞在全球范围内被积极利用。

MangoBleed 漏洞源于 MongoDB 服务器处理 zlib 压缩网络消息的方式。MongoDB 解压缩逻辑中的一个缺陷可能导致数据库在身份验证完成之前向远程客​​户端返回未初始化的堆内存。

该漏洞允许未经身份验证的攻击者通过网络访问 MongoDB 端口来反复探测服务器并聚合泄露的内存碎片，从而可能暴露凭据、会话密钥、内部状态和其他敏感数据。

据网络安全公司 Tenable Holdings Inc.称，概念验证漏洞利用代码于12月25日在GitHub上公开发布。几天之内，安全研究人员就检测到了针对这些易受攻击实例的自动化扫描和攻击尝试。分析表明，数万个MongoDB部署仍然可以通过互联网访问，容易受到攻击，其中许多部署启用了zlib压缩，而zlib压缩是一种常见的默认配置。

此次安全漏洞的影响范围十分广泛。扫描服务已在全球范围内识别出约 87,000 个可能存在漏洞的 MongoDB 实例，云安全遥测数据显示，很大一部分云环境至少托管着一个受影响的数据库。

MongoDB 已发布补丁程序修复所有受支持版本中的此漏洞，并敦促安全人员立即升级。如果组织无法立即进行补丁更新，建议的缓解措施包括禁用 zlib 压缩并将网络访问限制在受信任的主机上。

云端漏洞扫描公司 Intruder Systems Ltd.的安全主管 Dan Andrew通过电子邮件告诉 SiliconANGLE，“这是一个严重的漏洞，它允许未经身份验证的远程攻击者从 MongoDB 的内存中检索信息。概念验证已向公众开放。”

“与其他堆内存泄露漏洞（例如 Heartbleed）类似，此次漏洞利用的影响取决于攻击者能够从堆内存中获取的信息，”Andrew 说。“然而，泄露的内存很可能包含凭证或其他敏感信息，尤其是在攻击者对漏洞了解得越多、利用得越有效的情况下。”

无论补丁状态如何，他都建议不要将 MongoDB 暴露在互联网上，并应通过防火墙或类似控制措施限制访问。他还补充道：“应尽快应用补丁，以避免内部人员利用该漏洞。”