MongoBleed漏洞已遭實際濫用，CISA要求聯邦民事行政部門機關三周內修補

美國網路安全暨基礎設施安全局（CISA）將MongoDB漏洞CVE-2025-14847加入已知遭利用漏洞清單（KEV），並要求聯邦民事行政部門機關（FCEB）在2026年1月19日前完成修補，期限約三周。 

CISA將CVE-2025-14847列入KEV的理由，是已出現實際濫用跡象。CVE-2025-14847又被稱為MongoBleed，該漏洞在不需要身分驗證且不需使用者互動的情況下，可能讓攻擊者遠端讀取伺服器記憶體中的敏感片段，例如帳密或其他存取憑證、API或雲端服務金鑰、工作階段權杖、內部紀錄與可識別個人資料等。

該漏洞的嚴重性在於，攻擊者不一定需要先取得合法登入權限，只要目標MongoDB服務對外公開，就可能藉由觸發記憶體洩漏，獲得足以作為後續入侵跳板的線索，進而擴大橫向移動與資料外洩風險。而造成漏洞的原因，是MongoDB伺服器端在處理zlib壓縮的協定標頭時長度欄位不一致，可能讓未經驗證的遠端用戶端讀取伺服器端未初始化的堆積記憶體（Heap Memory）內容，屬於資訊洩漏類型漏洞。

MongoDB已在2025年12月19日釋出修補版本MongoDB 8.0.17，CISA後續也將該漏洞納入KEV並設定到期日，要求受BOD22-01指令約束的機關在指定期限內完成處置。

雖然BOD 22-01的指令適用範圍主要是美國聯邦民事行政部門機關，但對一般組織而言，MongoBleed同樣危險。要是環境中有使用MongoDB，特別是對外提供服務或是向網際網路開放的部署型態，CISA同樣建議應把CVE-2025-14847列為近期修補的優先項目。