一、漏洞概要
漏洞名称 | MongoDB 未授权内存泄露漏洞(CVE-2025-14847) |
发布时间 | 2025年12月29日 |
组件名称 | Mongodb Server |
影响范围 | 8.2.0 ≤ MongoDB Server ≤ 8.2.2 8.0.0 ≤ MongoDB Server ≤ 8.0.16 7.0.0 ≤ MongoDB Server ≤ 7.0.27 6.0.0 ≤ MongoDB Server ≤ 6.0.26 5.0.0 ≤ MongoDB Server ≤ 5.0.31 4.4.0 ≤ MongoDB Server ≤ 4.4.29 MongoDB Server 4.2 MongoDB Server 4.0 MongoDB Server 3.6 |
漏洞类型 | 内存泄露 |
利用条件 | 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
Mongodb Server是美国Mongodb公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。
2.2 漏洞描述
2025年12月29日,深瞳漏洞实验室监测到一则Mongodb Server组件存在内存泄露漏洞的信息,漏洞编号:CVE-2025-14847,漏洞威胁等级:高危。
MongoDB Server存在一个内存泄漏漏洞,未经授权的攻击者可以通过发送格式错误的数据包,触发堆内存错误,读取内存数据,导致敏感信息泄露。
三、影响范围
目前受影响的Mongodb Server版本:
8.2.0 ≤ MongoDB Server ≤ 8.2.2
8.0.0 ≤ MongoDB Server ≤ 8.0.16
7.0.0 ≤ MongoDB Server ≤ 7.0.27
6.0.0 ≤ MongoDB Server ≤ 6.0.26
5.0.0 ≤ MongoDB Server ≤ 5.0.31
4.4.0 ≤ MongoDB Server ≤ 4.4.29
MongoDB Server 4.2全版本
MongoDB Server 4.0全版本
MongoDB Server 3.6全版本
官方修复建议
若您 MongoDB Server 版本为 8.2.x,请尽快升级至 8.2.3;
若您 MongoDB Server 版本为 8.0.x,请尽快升级至 8.0.17;
若您 MongoDB Server 版本为 7.0.x,请尽快升级至 7.0.28;
若您 MongoDB Server 版本为 6.0.x,请尽快升级至 6.0.27;
若您 MongoDB Server 版本为 5.0.x,请尽快升级至 5.0.32;
若您 MongoDB Server 版本为 4.4.x,请尽快升级至 4.4.30。