美国与澳大利亚的网络安全部门联合发出警报，指出 mongodb 及其服务器软件中存在一个高危漏洞，目前正被黑客积极利用，严重威胁那些将数据库直接暴露在公网上的组织。

该漏洞标识为 CVE-2025-14847，代号“MongoBleed”。美国网络安全与基础设施安全局（CISA）将其定义为“长度参数校验不一致导致的处理缺陷”。CISA已强制要求所有联邦民事机构必须在1月19日前完成修复。与此同时，澳大利亚信号局（ASD）也发布通告，确认该漏洞已在多国范围内被实际用于攻击活动。

MongoBleed 的成因在于 MongoDB 服务端对 zlib 压缩格式网络数据包的解析机制存在缺陷。由于解压缩逻辑存在疏漏，系统可能在用户身份验证流程尚未完成前，就向远程客户端返回未经初始化的堆内存区域内容。

这一缺陷使未授权攻击者仅需通过网络连接至 MongoDB 默认端口，即可持续发起探测请求，并逐步拼凑出泄露的内存片段。由此可能获取包括数据库凭证、加密会话密钥、进程内部状态以及其它高度敏感信息在内的大量关键数据。

据网络安全企业 Tenable Holdings Inc. 报告，一份可用于验证该漏洞的 PoC（概念验证）利用代码已于12月25日公开发布于 GitHub 平台。短短数日内，全球多个安全团队即监测到针对易受攻击 MongoDB 实例的大规模自动化扫描与入侵尝试。初步分析显示，仍有数万个 MongoDB 部署可通过互联网直接访问，且其中多数启用了 zlib 压缩功能——而这恰恰是该漏洞触发的常见前提条件。

此次事件影响面极为广泛。第三方扫描平台在全球范围内共识别出约 87,000 个疑似存在该漏洞的 MongoDB 实例；云安全监测数据进一步表明，大量公有云及混合云环境中均至少运行着一个受影响的数据库实例。

MongoDB 官方已针对所有当前受支持版本推出安全补丁，并强烈建议用户立即升级。若因业务原因暂无法执行更新，临时缓解方案包括：彻底禁用 zlib 压缩功能，并严格限制数据库端口的网络可达性，仅允许可信主机访问。

Intruder Systems Ltd.（一家专注于云端漏洞检测的公司）首席安全官 Dan Andrew 在致 SiliconANGLE 的邮件中指出：“这是一个极其危险的漏洞，它赋予未经认证的远程攻击者直接读取 MongoDB 进程内存的能力。目前 PoC 已完全公开。”

他补充道：“其危害程度与当年的 Heartbleed 漏洞类似，最终造成的实际损害取决于攻击者能从内存中提取哪些有效载荷。但现实情况是，泄露的内存块极有可能包含登录凭据或其他核心机密信息——尤其当攻击者对该漏洞理解越深、利用技巧越娴熟时，风险将呈指数级上升。”

无论当前是否已完成补丁部署，Andrew 均强调：绝不可将 MongoDB 实例直接暴露于互联网环境，务必借助防火墙、网络 ACL 或零信任网关等手段实施严格的访问控制。此外，“应尽快落实补丁更新，以防内部人员滥用该漏洞实施横向渗透或数据窃取。”

源码地址：点击下载

# 数据库  # 这是一个  # 能在  # 将其  # 多个  # 暂无  # 这一  # 云安  # 美国  # 澳大利亚  # 互联网  # 自动化  # git  # 事件  # 堆  # 2025  # 解压  # 网络安全  # 端口  # 防火墙  # mongodb  # github  # go 

相关文章： 纽约学校手机禁令暴露问题：部分高中生不会看指针钟表  大规模断网事件再现！《艾尔登法环：黑夜君临》等多家游戏与网络服务中断  西门吹雪战局掌控秘钥  API 接口开放平台 Crabc 3.5.4 发布  Intel入门18核至强654首次跑分：与28核3465X相当！  openKylin 社区 2025 年 11 月运营报告  明年发布！小米17 Air将支持eSIM  Andrej Karpathy 的焦虑：作为一名程序员，我从未感到如此落后  安克创新回应“裁员 30%”：消息不属实  拒绝无效忙碌！盘点2025年那些让我效率“开挂”的鸿蒙应用！  《塞尔达传说：旷野之息》VR mod发布 可实现与角色的触觉互动  痛感依旧！《逃离塔科夫》主机版将和PC版一样难  乐视出《甄嬛传》周边被丑拒：“这是如花？”  强制性国家标准《移动电源安全技术规范》论证会在京召开  新年新气象 华硕B850主板带你元旦装新机  粉丝必吃！日本麦当劳联手《勇者斗恶龙》 推3款限定汉堡、史莱姆苏打  年轻人的第一台徕卡相机火了！小米17 Ultra徕卡版售罄：黄牛卖1万  MediaTek 2025年度科研成果速报：20篇论文入选ISSCC，布局AI与6G未来  Selenium 创始人发布 Vibium，面向 AI Agent 的浏览器自动化架构  又拿第一！《光与影：33号远征队》成为2025年最多玩家通关游戏  卢伟冰：17 Ultra搭载小米史上最强长焦 告别画质取舍  三星有望为 xAI 代工 Grok 的人工智能芯片  行业最强Ultra来了！一图读懂小米17 Ultra：6999元起  7大营销热点，承包了7月的吃“瓜”!  吴晓波展示荣耀ROBOT PHONE真机：世界上第一款手机机器人！  备战“内存荒”：消息称厂商直接接洽三星、SK 海力士等，寻求长期供货  盒马营销送西瓜，把广州动物园吓沉默了...  反向“白嫖”网友？星巴克赢麻了！  2499元！网友自制跑分最高LCD手机，这配置你敢买吗？  显卡选自带线还是电源线：九大品牌回复 观点各异！  三星迈向自研GPU 2027年或将推出自研GPU架构  惊见联发科蔡力行兼职炸薯条？麦当劳进驻联发科技新竹总部  《逆神者》围绕“弑神”构建动态章节 世界随你改变  抖音能当微信公众号用：长图文功能上线，最多可发 8000 字，还能配乐  AI重构声音美学，爱畅音响荣获钛媒体大奖，领跑端侧AI音频新赛道  国补价1709.1元起！OPPO Pad Air5首销：支持插SIM卡  三星Wide Fold与苹果iPhone Fold渲染图曝光  Cursor CEO 警告“氛围编程”风险：盲目依赖 AI 正在构建不稳固的代码地基  思特威发布高端5000万像素CMOS：SC525XS 28nm工艺  容声三款爆款冰箱的除菌净味与储鲜技术分析  业界首个搭载纯Rust内核的发行版星绽NixOS发布，安全内核“走出实验室”  国产自研6nm GPU投入使用！砺算科技7G100完成首批订单交付  《密特罗德究极4》师承《塞尔达传说：旷野之息》！竟是部分灵感设计来源  华硕终于发布RTX 5090D v2显卡！OC版已正式上架：19999元  《|美女|请别影响我成仙》即将登陆主机平台  “长在手上”的遥控器 如何承包牛奶盒子的亮点  沃尔沃XC70这车怎么样？不吹不黑聊聊用车体验  165Hz超高刷+9000mAh电池 一加Turbo有点猛啊！  NITRO+氮动极光特别版与钛色版X870E旗舰主板强势上新 创新背插技术赋能极致游戏体验  兽系输出核心可燃点全方位培养指南 

相关栏目： 【 广告资讯37196 】 【 广告推广143353 】 【 广告优化89630 】