內容說明

研究人員發現MongoDB存在不當處理長度不一致參數(Improper Handling of Length Parameter Inconsistency)漏洞(CVE-2025-14847)。未經身分鑑別之遠端攻擊者可透過傳送特製之zlib壓縮通訊封包，觸發系統於處理解壓縮資料時，未適當驗證參數長度之問題，進而於解析文件流程讀取未初始化之記憶體內容，造成敏感資訊洩漏。該漏洞已遭駭客利用，請儘速確認並進行修補。

備註：本院偵測發現國內存在約500台有漏洞之系統，請機關儘快檢視是否存在對外公開之MongoDB服務(預設TCP 27017)，並請及時完成版本更新。

 

影響平台

MongoDB 8.2.0至8.2.2版本
MongoDB 8.0.0至8.0.16版本
MongoDB 7.0.0至7.0.26版本
MongoDB 6.0.0至6.0.26版本
MongoDB 5.0.0至5.0.31版本
MongoDB 4.4.0至4.4.29版本
MongoDB Server 4.2所有版本
MongoDB Server 4.0所有版本
MongoDB Server 3.6所有版本

 

處置建議

 
更新MongoDB至8.2.3版本
更新MongoDB至8.0.17版本
更新MongoDB至7.0.28版本
更新MongoDB至6.0.27版本
更新MongoDB至5.0.32版本
更新MongoDB至4.4.30版本

若無法立即更新，建議先於MongoDB伺服器端停用zlib壓縮功能，詳細操作方法請參考官方說明進行處理，網址如下：
https://jira.mongodb.org/browse/SERVER-115508

 

參考資料

 
1. https://nvd.nist.gov/vuln/detail/CVE-2025-14847
2. https://jira.mongodb.org/browse/SERVER-115508