江蘇
關(guān)鍵詞
高危漏洞
MongoDB 官方警告 IT 管理員立即修復(fù)一個嚴(yán)重漏洞(CVE-2025-14847),該漏洞可被攻擊者遠(yuǎn)程利用,直接執(zhí)行任意代碼并控制服務(wù)器。
漏洞成因在于長度參數(shù)處理不一致,無需認(rèn)證、無需用戶交互即可發(fā)動低復(fù)雜度攻擊。受影響版本覆蓋 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29,以及所有 4.2、4.0、3.6 系列。
官方給出的安全版本為:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暫時無法升級,應(yīng)立即關(guān)閉 zlib 壓縮功能,即在啟動 mongod/mongos 時通過 networkMessageCompressors 或 net.compression.compressors 參數(shù)顯式排除 zlib。
MongoDB 安全團隊周五公告稱:“攻擊者可在無需認(rèn)證的情況下,利用服務(wù)端 zlib 實現(xiàn)缺陷返回未初始化的堆內(nèi)存。強烈建議盡快升級。”
MongoDB 是全球主流的非關(guān)系型數(shù)據(jù)庫,數(shù)據(jù)以 BSON(二進制 JSON)文檔形式存儲,客戶超 6.25 萬家,包括數(shù)十家《財富》500 強企業(yè)。此前,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)曾將 MongoDB 組件 mongo-express 的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-10758)列入“已知被利用漏洞”清單,并要求聯(lián)邦機構(gòu)限期修復(fù)。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
