【漏洞预警】MongoDB Zlib 信息泄露漏洞（CVE-2025-14847）

漏洞名称：MongoDB Zlib 信息泄露漏洞（CVE-2025-14847）

风险等级：

高风险

漏洞描述：

MongoDB 是一款由 MongoDB, Inc. 开发和维护的开源 NoSQL 文档型数据库，广泛应用于

Web 应用、移动应用及大数据场景。MongoDB Server 作为其核心服务端组件，负责数据存

储、查询处理及网络通信等关键功能。

该漏洞源于 MongoDB Server 在启用 Zlib 压缩协议的情况下，处理 Zlib 压缩协议头时对

长度字段校验缺失，导致在特定条件下解压逻辑会读取未初始化的堆内存区域。攻击者无需

认证即可通过精心构造的请求触发漏洞，可能导致敏感信息泄露，如内存中的凭据、会话信

息或内部数据，从而获取 MongoDB Server 进程中的堆内存数据，对数据库系统的机密性造

成威胁。目前该漏洞PoC和技术细节已在互联网上公开，鉴于该漏洞影响范围较大，建议客

户尽快做好自查及防护。

FOFA自检语句：

app="MongoDB"

受影响版本：

8.2.0 <= MongoDB Server <= 8.2.2

8.0.0 <= MongoDB Server <= 8.0.16

7.0.0 <= MongoDB Server <= 7.0.27

6.0.0 <= MongoDB Server <= 6.0.26

5.0.0 <= MongoDB Server <= 5.0.31

4.4.0 <= MongoDB Server <= 4.4.29

MongoDB Server 4.2.* 所有版本

MongoDB Server 4.0.* 所有版本

MongoDB Server 3.6.* 所有版本

临时修复方案：

官方已发布安全更新，建议受影响用户立即升级至以下已修复版本：

MongoDB Server 8.2.3

MongoDB Server 8.0.17

MongoDB Server 7.0.28

MongoDB Server 6.0.27

MongoDB Server 5.0.32

MongoDB Server 4.4.30

漏洞检测工具：

鉴于该漏洞影响范围较大，建议优先处置排查，Goby EXP效果如视频演示如下：