美国网络安全暨基础设施安全局(CISA)将MongoDB漏洞CVE-2025-14847加入已知遭利用漏洞清单(KEV),并要求联邦民事行政部门机关(FCEB)在2026年1月19日前完成修补,期限约三周。
CISA将CVE-2025-14847列入KEV的理由,是已出现实际滥用迹象。CVE-2025-14847又被称为MongoBleed,该漏洞在不需要身份验证且不需用户互动的情况下,可能让攻击者远程读取服务器内存中的敏感片段,例如帐密或其他访问凭证、API或云计算服务密钥、工作阶段权限、内部记录与可识其他人数据等。
该漏洞的严重性在于,攻击者不一定需要先取得合法登录权限,只要目标MongoDB服务对外公开,就可能借由触发内存泄露,获得足以作为后续入侵跳板的线索,进而扩大横向移动与数据外流风险。而造成漏洞的原因,是MongoDB服务器端在处理zlib压缩的协议标头时长度字段不一致,可能让未经验证的远程用户端读取服务器端未初始化的堆积内存(Heap Memory)内容,属于资讯泄露类型漏洞。
MongoDB已在2025年12月19日发布修补版本MongoDB 8.0.17,CISA后续也将该漏洞纳入KEV并设置到期日,要求受BOD22-01指令约束的机关在指定期限内完成处置。
虽然BOD 22-01的指令适用范围主要是美国联邦民事行政部门机关,但对一般组织而言,MongoBleed同样危险。要是环境中有使用MongoDB,特别是对外提供服务或是向网际网络开放的部署形态,CISA同样建议应把CVE-2025-14847列为近期修补的优先项目。
