MongoDB爆严重漏洞MongoBleed，全球8.7万台服务器遭殃

哈喽，大家好，今天小墨这篇评论，主要来分析MongoDB数据库爆出的MongoBleed漏洞，以及全球数万台服务器面临的安全威胁。

MongoDB最近修补了编号为CVE-2025-14847的漏洞，这个漏洞影响多个MongoDB服务器版本。未认证的攻击者可以以较低的复杂度远程利用这个漏洞，可能导致敏感数据和凭证的外泄。

这个漏洞被称为MongoBleed，名字来源于臭名昭著的Heartbleed漏洞，CVSS得分为8.7。MongoDB公司声明，托管在MongoDB Atlas上的实例已经打了补丁，自托管的MongoDB如果不更新仍然存在风险。

MongoBleed源于MongoDB服务器基于zlib的网络消息解压缩逻辑中的一个缺陷，这个逻辑在认证之前就被处理了。通过发送畸形的压缩网络数据包，攻击者可以触发服务器错误处理解压缩的消息长度，导致返回给客户端的是未初始化的堆内存。

根据Wiz公司的数据，42%的云环境中至少有一个易受攻击的MongoDB实例，包括公开暴露和内部资源。Censys平台报告称全球大约有8.7万台服务器存在潜在风险。由于该漏洞可以在没有认证或用户交互的情况下被利用，暴露在互联网上的数据库服务器面临特别高的风险。

根据Censys平台的统计，截至12月27日，美国有近2万台MongoDB服务器暴露在公网上，中国以近1.7万台排第二，德国接近8000台。这个分布说明MongoDB在全球范围内被广泛使用，各国都面临相当程度的风险敞口。

12月26日，公开的概念验证代码已经可以获取，安全研究人员在披露后不久就报告了野外利用的情况。12月29日，美国网络安全和基础设施安全局已将CVE-2025-14847添加到已知被利用漏洞目录中，确认存在主动利用。

MongoDB存储的通常是敏感应用和业务数据，包括个人信息、认证令牌和内部服务详细信息。配置不当或暴露的MongoDB实例可以被远程访问，成为攻击者的理想目标。像MongoBleed这样的严重漏洞可以在不需要认证的情况下泄露未初始化的内存，可能将敏感数据暴露给攻击者。

MongoDB在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中引入了补丁，升级到这些版本可以完全修复漏洞。在应用补丁之前，可以通过分段大幅降低暴露风险：阻止从互联网访问MongoDB实例的TCP 27017端口，只允许明确信任的来源连接。

这个漏洞影响了自2017年以来发布的所有MongoDB版本。有软件开发人员评论说，MongoBleed突出了即使是成熟的数据库，当暴露或未打补丁时，也可能成为关键的攻击面。预认证内存泄露、主动漏洞攻击和8.7万以上暴露实例，提醒我们数据库安全就是基础设施安全。

MongoDB补丁版本现在可用于从4.4到8.0的所有支持版本。像Percona Server for MongoDB这样的分支也受到上游漏洞的影响。组织应该立即应用安全补丁，或禁用压缩并限制网络暴露，确保数据库安全得到有效保障。