擁有眾多用戶的NoSQL資料庫管理系統MongoDB,其開發工程團隊近期發布資安公告,他們發布重大更新修補資安漏洞CVE-2025-14847,攻擊者可透過用戶端來觸發,此漏洞出現在MongoDB伺服器的zlib實作,可能在用戶未通過身分驗證的情況下,引發未初始化的記憶體堆疊問題,4.0版CVSS評分達到8.7分、3.1版CVSS風險評為7.5,呼籲用戶要儘速套用新版因應。
這個漏洞發生的原因,在於zlib壓縮協定的標頭欄位長度不一致,未通過身分驗證的攻擊者能以此讀取未初始化的記憶體堆疊。此漏洞的影響範圍相當廣,涵蓋8.2.0至8.2.3版、8.0.0至8.0.16版、7.0.0至7.0.26版、6.0.0至6.0.26版、5.0.0至5.0.31版,以及MongoDB 4.4.0至4.4.29版MongoDB。除此之外,4.2版、4.0版,以及3.6版MongoDB Server,也受到影響。
若是IT人員無法及時更新,開發工程團隊呼籲應停用MongoDB伺服器的zlib壓縮功能,做法是採用networkMessageCompressors或net.compression.compressors等壓縮器設定,重新啟動mongod或mongos處理程序。
熱門新聞
2025-12-24
2025-12-23
2025-12-22
2025-12-24
2025-12-19
2025-12-23
2025-12-24
Advertisement