MongoDB zlib 漏洞 CVE-2025-14847 快速修補建議與風險評估

概述

MongoDB 近期發佈的安全公告指出，伺服器層面的 zlib 壓縮實作中存在「長度參數不一致」問題，導致未經授權的客戶端可讀取未初始化的堆疊記憶體。此漏洞的 CVSS 4.0 評分為 8.7，3.1 評分為 7.5，屬於高危級別 (Critical) (iThome, 2024)。若被利用，攻擊者能在未通過身分驗證的情況下取得伺服器記憶體中可能包含敏感資料的內容，進而造成資料外洩、服務中斷或進一步的惡意操作。

受影響版本

MongoDB Server 7.0.x（7.0.0‑7.0.27）
MongoDB Server 8.0.x（8.0.0‑8.0.16）
MongoDB Server 8.2.x（8.2.0‑8.2.2）
MongoDB Server 6.0.x（6.0.0‑6.0.26）
MongoDB Server 5.0.x（5.0.0‑5.0.31）
MongoDB Server 4.4.x（4.4.0‑4.4.29）
MongoDB Server 4.2.x（4.2.0‑4.2.x）
MongoDB Server 4.0.x（4.0.0‑4.0.x）
MongoDB Server 3.6.x（3.6.0‑3.6.x）

攻擊面及風險評估

此漏洞不需要任何身分驗證即可觸發，攻擊者只需向 MongoDB 伺服器發送帶有不一致長度欄位的 zlib 壓縮資料包。解碼時，伺服器會讀取未初始化的堆疊記憶體，可能包含先前執行的指令、帳戶憑證或其他敏感資料。由於讀取範圍不受限制，攻擊者可以重複發送多個請求，逐步泄露更完整的資訊。

根據 CVSS 4.0 的評分，該漏洞對機密性（Confidentiality）造成「嚴重」影響（C:H），但對完整性（Integrity）和可用性（Availability）影響為「無」（I:N / A:N）。這意味著主要風險是資料外洩，對服務可用性影響較小。

快速修補建議

立即升級至已修補的 MongoDB 版本。MongoDB 官方已於 2025‑12‑15 釋出 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30、4.2.x 以上版本，將此漏洞修補完畢。
若無法即時升級，請臨時停用 zlib 壓縮功能。可修改 networkMessageCompressors 或 net.compression.compressors 設定，示例如下：

📂 收合（點我收起）

# /etc/mongod.conf
net:
  compression:
    compressors: none

修改完畢後重啟 mongod 或 mongos 服務。
設定防火牆或安全群組，限制只允許內部可信 IP 連接 MongoDB 端口（默認 27017）。
監控 MongoDB 日誌，留意未授權的連線或異常請求；可使用 mongod --auditDestination 產生日誌。
透過自動化工具（如 Ansible、Chef）將上述設定推廣到所有節點，確保一致性。

長期防護措施

1. 建立定期漏洞掃描與更新機制：使用自動化漏洞掃描器（如 Nessus、OpenVAS）定期掃描 MongoDB 伺服器；同時關注 MongoDB 官方公告，確保版本保持最新。

2. 實施零信任架構：將 MongoDB 伺服器放在私有網路，並使用 TLS 1.3 加密通訊；在應用層面使用身份驗證與授權，避免任何未經授權的直接訪問。

3. 監控與告警：部署監控平台（如 Prometheus + Grafana）收集 MongoDB 性能與安全指標；設定告警規則，當偵測到未授權連線或高併發壓縮請求時即時通知。

4. 紀錄審計：啟用 MongoDB 的審計日誌功能，追蹤所有操作與連線；結合 SIEM 系統（如 Splunk、ELK）進行集成分析。

MITRE ATT&CK 對應

T1190 – Unauthenticated Remote Services (Initial Access)
T1068 – Exploitation for Privilege Escalation (Potentially exploiting memory leak for data exfiltration)