內容說明
研究人員發現 MongoDB 存在不當處理長度不一致參數(Improper Handling of Length Parameter Inconsistency)漏洞(CVE-2025-14847)。未經身分鑑別之遠端攻擊者可透過傳送特製之 zlib 壓縮通訊封包,觸發系統於處理解壓縮資料時未適當驗證參數長度之問題,進而於解析文件流程讀取未初始化之記憶體內容,造成敏感資訊洩漏。該漏洞已遭駭客利用,請儘速確認並進行修補。
備註:本院偵測發現國內存在約 500 台具漏洞之系統,請機關儘快檢視是否存在對外公開之 MongoDB 服務(預設 TCP 27017),並及時完成版本更新。
影響平台
- MongoDB 8.2.0 至 8.2.2 版本
- MongoDB 8.0.0 至 8.0.16 版本
- MongoDB 7.0.0 至 7.0.26 版本
- MongoDB 6.0.0 至 6.0.26 版本
- MongoDB 5.0.0 至 5.0.31 版本
- MongoDB 4.4.0 至 4.4.29 版本
- MongoDB Server 4.2 所有版本
- MongoDB Server 4.0 所有版本
- MongoDB Server 3.6 所有版本
處置建議
更新MongoDB至8.2.3版本
更新MongoDB至8.0.17版本
更新MongoDB至7.0.28版本
更新MongoDB至6.0.27版本
更新MongoDB至5.0.32版本
更新MongoDB至4.4.30版本
若無法立即更新,建議先於MongoDB伺服器端停用zlib壓縮功能,詳細操作方法請參考官方說明進行處理,網址如下:
https://jira.mongodb.org/browse/SERVER-115508
CVE編號
CVE-2025-14847