CVE-2025-14847 — 神龙十问 AI 深度分析摘要
CVSS 7.5 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:MongoDB 在处理 Zlib 压缩协议时,**头部长度不匹配**。 💥 **后果**:导致**读取未初始化内存**,引发严重的**内存泄露**风险。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:**CWE-130**(错误处理中的长度处理问题)。 🔍 **缺陷点**:Zlib 压缩协议头的**长度校验逻辑**存在漏洞。
Q3影响谁?(版本/组件)
📦 **组件**:**MongoDB Server**。 📅 **受影响版本**: • v7.0 (<7.0.28) • v8.0 (<8.0.17) • v8.2 (<8.2.3) • v6.0 (<6.0.27) • v5.0 (<5.0.32) • v4.4 (<4.4.30) • v4.2 (>=4.2.0) • v4.0
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**:利用**未初始化内存读取**。 📂 **数据风险**:可能**泄露敏感内存数据**,包括密钥或用户信息。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**低**。 🔑 **条件**:网络可访问 (**AV:N**),无需认证 (**PR:N**),无需用户交互 (**UI:N**)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **现成Exp**:**有**。 🔗 多个 GitHub 仓库已发布 PoC/Exploit(如 onewinner, ProbiusOfficial 等),可直接用于检测或攻击。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**: 1. 检查 MongoDB 版本是否在**受影响列表**中。 2. 使用提供的 GitHub PoC 工具进行**内存泄露检测**。 3. 监控异常内存读取日志。
Q8官方修了吗?(补丁/缓解)
🩹 **官方修复**:**已发布**。 📌 参考 Jira: **SERVER-115508**。 ✅ 升级至各分支的**最新补丁版本**即可修复。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **限制网络访问**:仅允许可信 IP 连接 MongoDB。 2. **启用认证**:虽然漏洞无需认证,但增加认证层可提高攻击成本。 3. **监控内存**:密切监控服务器内存异常波动。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📉 **CVSS**:**7.5 (High)**。 💡 **建议**:立即升级版本,因 PoC 已公开且利用条件极低,风险极高。