游乐游手机版
首页/科技数码/文章详情

MongoDB高危漏洞MongoBleed正遭活跃利用

时间:2025-12-30 19:13
美国与澳大利亚的网络安全部门联合发出警报,指出 MongoDB 及其服务器软件中存在一个高危漏洞,目前正被黑客积极利用,严重威胁那些将数据库直接暴露在公网上的组织。该漏洞标识为 C

美国和澳大利亚的网络安全部门近日联合发布安全警告,指出MongoDB数据库及其服务器软件中存在一个高度危险的漏洞,目前正被黑客积极利用。该漏洞严重威胁着那些将数据库直接暴露在公网上的组织。

这一漏洞被标识为CVE-2025-14847,代号“MongoBleed”。美国网络安全和基础设施安全局(CISA)将其定义为“由长参数校验不一致导致的内存处理缺陷”。CISA已强制要求所有联邦民事机构必须在1月19日前完成修复。与此同时,澳大利亚信号局(ASD)也发布通报,确认该漏洞已在多国范围内被实际用于网络攻击活动。

MongoDB 中的 MongoBleed 漏洞正被积极利用

MongoBleed漏洞的根源在于MongoDB服务端对zlib压缩格式网络数据包的解析机制存在缺陷。由于解压缩逻辑存在疏漏,系统可能会在用户身份验证流程尚未完成前,就向远程客户端返回未经初始化的堆内存区域内容。

这一缺陷使得未经授权的攻击者仅需通过网络连接至MongoDB默认端口,即可持续发起探测请求,并逐步拼凑出泄露的内存片段。由此可能获取包括数据库凭证、加密会话密钥、进程内部状态以及其他高度敏感信息在内的大量关键数据。

据网络安全企业Tenable Holdings Inc.报告,一份可用于验证该漏洞的PoC(概念验证)利用代码已于12月25日公开发布在GitHub平台。短短数日内,全球多个安全团队即监测到针对易受攻击MongoDB实例的大规模自动化扫描与入侵尝试。初步分析显示,仍有数万个MongoDB部署可通过互联网直接访问,且其中多数启用了zlib压缩功能——而这恰恰是该漏洞触发的常见前提条件。

此次事件影响面极为广泛。第三方扫描平台在全球范围内共识别出约87,000个疑似存在该漏洞的MongoDB实例;云安全监测数据进一步表明,大量公有云及混合云环境中均至少运行着一个受影响的数据库实例。

MongoDB最新已针对所有当前支持版本推出安全补丁,并强烈建议用户立即升级。若因业务原因暂时无法执行更新,临时缓解方案包括:彻底禁用zlib压缩功能,并严格限制数据库端口的网络可达性,仅允许可信主机访问。

Intruder Systems Ltd.(一家专注于云端漏洞检测的公司)首席安全官Dan Andrew在致SiliconANGLE的邮件中指出:“这是一个极其危险的漏洞,它赋予未经认证的远程攻击者直接读取MongoDB进程内存的能力。目前PoC已完全公开。”

他补充道:“其危害程度与当年的Heartbleed漏洞类似,最终造成的实际损害取决于攻击者能从内存中提取哪些有效载荷。但现实情况是,泄露的内存块极有可能包含登录凭据或其他核心机密信息——尤其当攻击者对该漏洞理解越深、利用技巧越娴熟时,风险将呈指数级上升。”

无论当前是否已完成补丁部署,Andrew均强调:绝不可将MongoDB实例直接暴露于互联网环境,务必借助防火墙、网络ACL或零信任网关等手段实施严格的访问控制。此外,“应尽快落实补丁更新,以防内部人员滥用该漏洞实施横向渗透或数据窃取。”

源码地址:点击下载

来源:https://www.php.cn/faq/1910868.html?uid=1246273
上一篇三星全永濬发布年终信:内存追赶对手仍需努力 下一篇《流浪地球3》赞助商闪极,如何实现科幻与科技的品牌双赢
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件
科技数码 · 2026-07-10

地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。

Laravel 12生态成熟助力全栈开发效率提升
科技数码 · 2026-07-10

Laravel 12生态成熟助力全栈开发效率提升

Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。

Linux内核持续演进:Rust语言与零拷贝网络成新焦点
科技数码 · 2026-07-10

Linux内核持续演进:Rust语言与零拷贝网络成新焦点

LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。

谷歌Gemini进入Agent时代 打造全天候AI助理
科技数码 · 2026-07-10

谷歌Gemini进入Agent时代 打造全天候AI助理

Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。

CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max
科技数码 · 2026-07-10

CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。