一、 漏洞 CVE-2025-11979 基础信息
漏洞信息
# MongoDB 查询计划器使用后释放漏洞
## 概述
授权用户可能通过引发缓冲区过度读取(buffer over-read)导致 MongoDB 服务器崩溃。
## 影响版本
- MongoDB Server v7.0 早于 7.0.25 的版本
- MongoDB Server v8.0 早于 8.0.15 的版本
- MongoDB Server v8.2.0
## 细节
在某些特定条件下,授权用户可通过在执行查询的同时发出 DDL(数据定义语言)操作,导致缓冲区过度读取,从而触发服务器崩溃。
## 影响
攻击者可以利用该漏洞使 MongoDB 服务器非预期终止,造成服务中断。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Use-after-free in the MongoDB server query planner may lead to crash or undefined behavior
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An authorized user may crash the MongoDB server by causing buffer over-read. This can be done by issuing a DDL operation while queries are being issued, under some conditions. This issue affects MongoDB Server v7.0 versions prior to 7.0.25, MongoDB Server v8.0 versions prior to 8.0.15, and MongoDB Server version 8.2.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
释放后使用
来源:美国国家漏洞数据库 NVD
漏洞标题
MongoDB Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。 MongoDB Server 7.0版本至7.0.25之前版本、8.0版本至8.0.15之前版本和8.2.0版本存在安全漏洞,该漏洞源于授权用户可在特定条件下通过DDL操作导致缓冲区过度读取,可能导致服务器崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11979 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11979 的情报信息
-
标题: [SERVER-105873] QueryPlannerParams should not maintain pointers owned by the IndexCatalogEntry - MongoDB Jira -- 🔗来源链接
标签:
神龙速读![[SERVER-105873] QueryPlannerParams should not maintain pointers owned by the IndexCatalogEntry - MongoDB Jira](https://cvepdf.imfht.com:2443//ti_screenshot/2025-10-20/screenshot-full-2025-10-20T19-05-19.257Z-37b63ac94cd7354d803e.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-11979
四、漏洞 CVE-2025-11979 的评论
暂无评论