美國和澳大利亞的網絡安全機構警告稱，MongoDB 和 MongoDB Server 中存在一個關鍵漏洞正被積極利用，對運行暴露數據庫基礎設施的組織構成威脅。

該漏洞編號為 CVE-2025-14847，被稱為“MongoBleed”，美國網絡安全和基礎設施安全局 (CISA) 將其描述為長度參數不一致處理不當漏洞。CISA 已發出警告，要求所有聯邦民事機構在 1 月 19 日前應用補丁程序。澳大利亞信號局也發出類似警告，稱已發現該漏洞在全球範圍內被積極利用。

MangoBleed 漏洞源於 MongoDB 服務器處理 zlib 壓縮網絡消息的方式。MongoDB 解壓縮邏輯中的一個缺陷可能導致數據庫在身份驗證完成之前向遠程客​​户端返回未初始化的堆內存。

該漏洞允許未經身份驗證的攻擊者通過網絡訪問 MongoDB 端口來反覆探測服務器並聚合泄露的內存碎片，從而可能暴露憑據、會話密鑰、內部狀態和其他敏感數據。

據網絡安全公司 Tenable Holdings Inc.稱，概念驗證漏洞利用代碼於12月25日在GitHub上公開發布。幾天之內，安全研究人員就檢測到了針對這些易受攻擊實例的自動化掃描和攻擊嘗試。分析表明，數萬個MongoDB部署仍然可以通過互聯網訪問，容易受到攻擊，其中許多部署啓用了zlib壓縮，而zlib壓縮是一種常見的默認配置。

此次安全漏洞的影響範圍十分廣泛。掃描服務已在全球範圍內識別出約 87,000 個可能存在漏洞的 MongoDB 實例，雲安全遙測數據顯示，很大一部分雲環境至少託管着一個受影響的數據庫。

MongoDB 已發佈補丁程序修復所有受支持版本中的此漏洞，並敦促安全人員立即升級。如果組織無法立即進行補丁更新，建議的緩解措施包括禁用 zlib 壓縮並將網絡訪問限制在受信任的主機上。

雲端漏洞掃描公司 Intruder Systems Ltd.的安全主管 Dan Andrew通過電子郵件告訴 SiliconANGLE，“這是一個嚴重的漏洞，它允許未經身份驗證的遠程攻擊者從 MongoDB 的內存中檢索信息。概念驗證已向公眾開放。”

“與其他堆內存泄露漏洞（例如 Heartbleed）類似，此次漏洞利用的影響取決於攻擊者能夠從堆內存中獲取的信息，”Andrew 説。“然而，泄露的內存很可能包含憑證或其他敏感信息，尤其是在攻擊者對漏洞瞭解得越多、利用得越有效的情況下。”

無論補丁狀態如何，他都建議不要將 MongoDB 暴露在互聯網上，並應通過防火牆或類似控制措施限制訪問。他還補充道：“應儘快應用補丁，以避免內部人員利用該漏洞。”