MongoBleed Explained Simply
5 months ago
- #Vulnerability
- #MongoDB
- #Security
- MongoBleed (CVE-2025-14847)是MongoDB中的一个严重漏洞,允许攻击者读取任意堆内存数据。
- 影响自2017年以来所有MongoDB版本,由zlib1消息压缩路径的缺陷引入。
- 漏洞利用无需认证;攻击者可读取密码、API密钥和个人身份信息等敏感数据。
- 漏洞源于对压缩消息中'uncompressedSize'字段的错误处理。
- 攻击者通过发送不带空终止符的畸形BSON对象,可强制服务器泄露内存内容。
- MongoDB延迟发布补丁且缺乏公开沟通引发担忧。
- 缓解措施包括升级至最新版本或禁用zlib网络压缩功能。
- 目前有超过213,000个MongoDB实例暴露在互联网上,可能成为攻击目标。