MongoDB数据库出现高危安全漏洞 无需身份验证即可执行任意代码
流行的非关系型数据库管理系统 MongoDB 日前出现高危安全漏洞,在漏洞披露前 MongoDB 已经发布新版本进行修复,所以使用 MongoDB 及 MongoDB Server 的开发者或企业应当立即升级到新版本。
该漏洞编号为 CVE-2025-14847,影响多个 MongoDB 和 MongoDB Server 版,漏洞原因是对长度参数不一致的处理不当造成,这可能允许未经身份验证的攻击者执行任意代码并接管目标设备。
MongoDB 安全团队称,客户端可以利用服务器端 zlib 实现的漏洞在无需向服务器进行身份验证的情况下返回未初始化的堆内存,强烈建议尽快升级到已修复的版本。
为了立即修复漏洞并阻止潜在的攻击,MongoDB 建议立即升级到以下不受影响的版本:
MongoDB 8.2.3
MongoDB 8.0.17
MongoDB 7.0.28
MongoDB 6.0.27
MongoDB 5.0.32
MongoDB 4.4.30
以下是所有受影响的版本:
MongoDB 8.2.0 ~ 8.2.3
MongoDB 8.0.0 ~ 8.0.16
MongoDB 7.0.0 ~ 7.0.26
MongoDB 6.0.0 ~ 6.0.26
MongoDB 5.0.0 ~ 5.0.31
MongoDB 4.4.0 ~ 4.4.29
所有 MongoDB Server v4.2 系列版本
所有 MongoDB Server v4.0 系列版本
所有 MongoDB Server v3.6 系列版本
如果暂时无法立即升级:
如果暂时无法升级到新版本修复漏洞,变通措施是在启动 mongod 或 mongos 时,使用 networkMessageCompressors 或 net.compression.compressors 选项显式地省略 zlib,这样可以禁用服务器上 zlib 压缩。
via MongoDB
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![王羽杉 要闪闪发光才好看[可爱]](https://imgs.knowsafe.com:8087/img/aideep/2022/1/28/bb78bd438378e1218337c0228d770093.jpg?w=250)
陪玩橙子
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 习近平这样要求共产党人 7903992
- 2 台湾宜兰县海域6.6级地震 7809448
- 3 台湾地震 福州泉州等地震感强烈 7712257
- 4 一周“靓”数 7619424
- 5 台湾6.6级地震 台北摇晃近1分钟 7521278
- 6 只要在吃药 就千万别吃这种水果 7425469
- 7 史上最严养犬新规来了 7330358
- 8 王楚钦率山东魏桥晋级乒超男团决赛 7235506
- 9 女子雪夜遇东北虎 感受“死亡凝视” 7140117
- 10 老年艾滋病感染比例攀升引热议 7048398
