HackerNews 编译,转载请注明出处:
MongoDB 官方警告 IT 管理员立即修复一个严重漏洞(CVE-2025-14847),该漏洞可被攻击者远程利用,直接执行任意代码并控制服务器。
漏洞成因在于长度参数处理不一致,无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29,以及所有 4.2、4.0、3.6 系列。
官方给出的安全版本为:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级,应立即关闭 zlib 压缩功能,即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。
MongoDB 安全团队周五公告称:“攻击者可在无需认证的情况下,利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。”
MongoDB 是全球主流的非关系型数据库,数据以 BSON(二进制 JSON)文档形式存储,客户超 6.25 万家,包括数十家《财富》500 强企业。此前,美国网络安全与基础设施安全局(CISA)曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞(CVE-2019-10758)列入“已知被利用漏洞”清单,并要求联邦机构限期修复。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文