一、漏洞详情

MongoDB是一款基于C++开发的开源NoSQL数据库系统，广泛应用于现代Web应用程序。

近日，监测到MongoDB存在未授权内存泄露漏洞（CVE-2025-14847）。在message_compressor_zlib.cpp中，原代码使用output.length()返回已分配的内存大小，而非实际解压缩数据的长度。攻击者可通过发送格式错误的网络数据包，触发未初始化堆内存的读取，从而导致敏感信息泄露。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

MongoDB Server 8.2.0 - 8.2.2

MongoDB Server 8.0.0 - 8.0.16

MongoDB Server 7.0.0 - 7.0.27

MongoDB Server 6.0.0 - 6.0.26

MongoDB Server 5.0.0 - 5.0.31

MongoDB Server 4.4.0 - 4.4.29

MongoDB Server 4.2.0 及以上版本

MongoDB Server 4.0.0 及以上版本

MongoDB Server 3.6.0 及以上版本

三、修复建议

升级至官方修复版本：

8.2.x 用户升级至 8.2.3

8.0.x 用户升级至 8.0.17

7.0.x 用户升级至 7.0.28

6.0.x 用户升级至 6.0.27

5.0.x 用户升级至 5.0.32

4.4.x 用户升级至 4.4.30