近日，網絡安全領域傳來一則重要消息，知名 NoSQL 數據庫管理系統 MongoDB 被曝出現高危漏洞，這一漏洞引發了廣泛關注。據悉，該漏洞已被標記為 CVE - 2025 - 14847，代號“MongoBleed”，其嚴重性不容小覷。

此漏洞危害極大，它允許未經身份驗證的網絡攻擊者輕松侵入服務器。一旦服務器開啟了網絡訪問并且啟用了 zlib 壓縮，黑客無需任何憑據就能利用該漏洞。更為嚴重的是，由于該漏洞可在消息解壓階段、身份驗證前觸發，黑客在成功入侵服務器后，甚至能夠執行任意代碼，這無疑給數據庫安全帶來了巨大威脅。

此次漏洞的影響范圍極為廣泛，多個版本的 MongoDB 都受到了波及。具體來看，8.2.0 - 8.2.3 版、8.0.0 - 8.0.16 版、7.0.0 - 7.0.26 版、6.0.0 - 6.0.26 版、5.0.0 - 5.0.31 版、4.4.0 - 4.4.29 版的 MongoDB 均在其列。4.2 版、4.0 版以及 3.6 版的 MongoDB Server 也未能幸免。

面對如此嚴峻的形勢，MongoDB 官方迅速行動，已經發布了新版本進行修復。官方強烈建議使用 MongoDB、MongoDB Server 的開發者或 IT 管理員立即將系統升級到最新版本，以消除安全隱患。目前官方推薦的修復版本包括 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。

然而，如果管理員暫時無法將 MongoDB 更新到最新版本，也有一些臨時緩解措施可供采用。比如，可以禁用 zlib 壓縮，轉而使用 snappy、zstd 或者不啟用壓縮；還可以通過防火墻、安全組或 Kubernetes NetworkPolicy 來限制 MongoDB 的網絡訪問；另外，移除任何不必要的公網暴露也是降低風險的有效方法。