MongoDB 中披露了一个高危安全漏洞,该漏洞可能允许未经身份验证的用户读取未初始化的堆内存。
该漏洞被追踪为CVE-2025-14847(CVSS 评分:8.7),被描述为长度参数不一致处理不当的案例,当程序未能适当处理长度字段与关联数据的实际长度不一致的情况时,就会出现这种情况。
根据CVE.org 上对该缺陷的描述, “Zlib 压缩协议头中长度字段不匹配可能允许未经身份验证的客户端读取未初始化的堆内存” 。
该缺陷会影响以下数据库版本 –
MongoDB 8.2.0 至 8.2.3
MongoDB 8.0.0 至 8.0.16
MongoDB 7.0.0 至 7.0.26
MongoDB 6.0.0 至 6.0.26
MongoDB 5.0.0 至 5.0.31
MongoDB 4.4.0 至 4.4.29
所有 MongoDB Server v4.2 版本
所有 MongoDB Server v4.0 版本
所有 MongoDB Server v3.6 版本
该问题已在 MongoDB 版本 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 中得到解决。
