【 資安警訊 】- MongoBleed漏洞已遭實際濫用,CISA要求聯邦民事行政部門機關三周內修補
發布編號:OIS-CTI-2026-01-001
情資來源:iThome、BleepingComputer、The Hacker News、MongoDB
事件類型:漏洞警訊公告
內容說明:
美國網路安全暨基礎設施安全局(CISA)於 2025 年 12 月 29 日將 MongoDB 漏洞 CVE-2025-14847 加入已知遭利用漏洞清單(KEV),並要求聯邦民事行政部門機關(FCEB)在 2026 年 1 月 19 日前完成修補,期限約三周。
此漏洞被資安社群稱為「MongoBleed」,CVSS 評分為 8.7(高風險),該漏洞存在於 MongoDB Server 的 zlib 壓縮功能中。在不需要身分驗證且不需使用者互動的情況下,攻擊者可遠端讀取伺服器記憶體中的敏感資料片段,包括:
• 帳號密碼或其他存取憑證
• API 金鑰或雲端服務金鑰(如 AWS Keys)
• 工作階段權杖(Session Tokens)
• 內部紀錄與可識別個人資料(PII)
圖片來源:thehackernews
該漏洞源於 MongoDB Server 在處理 zlib 壓縮的網路協定訊息時,對長度欄位的處理不一致。當 MongoDB 接收到特製的惡意壓縮封包時,會返回已分配的緩衝區大小而非實際解壓縮後的資料長度,導致未初始化的堆積記憶體內容被洩漏給未經驗證的遠端用戶端。
根據 Censys 平台統計,截至 2025 年 12 月 27 日,全球有超過 87,000 個 可能存在漏洞的 MongoDB 實例暴露於公開網路上。其中美國約有 20,000 台、中國約 17,000 台、德國約 8,000 台。雲端安全平台 Wiz 的遙測數據顯示,約 42% 的受監控環境中至少有一個存在漏洞的 MongoDB 實例。公開的概念驗證攻擊程式已於 2025 年 12 月 26 日在 GitHub 發布,資安研究人員已觀察到野外攻擊活動。
目前公開的 PoC 攻擊會建立大量快速連線(每分鐘可達 50,000-100,000 次以上),且攻擊連線不會發送客戶端元資料(MongoDB 事件 ID 51800),這與正常的 MongoDB 驅動程式行為不同,可作為偵測指標。
影響平台:
MongoDB Server(Community 與 Enterprise 版本)
受影響版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 之前的版本
MongoDB Atlas 用戶已自動獲得修補,無需額外操作
建議措施:
立即升級至修補版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30
若無法升級,停用 zlib 壓縮(使用 networkMessageCompressors 選項設定為 snappy,zstd 或 disabled)
限制 MongoDB 僅允許受信任 IP 存取,避免直接暴露於網際網路
啟用詳細日誌記錄,監控異常高頻連線行為
參考連結 :
https://www.ithome.com.tw/news/173111
https://www.mongodb.com/company/blog/news/mongodb-server-security-update-december-2025
https://thehackernews.com/2025/12/mongodb-vulnerability-cve-2025-14847.html