本文介绍云数据库 MongoDB 版实例在特定配置下可能受 CVE-2025-14847 漏洞影响的风险,并提供相应的规避和修复建议。
漏洞描述
根据CVE-2025-14847漏洞通告,当云数据库 MongoDB 实例配置为允许使用 zlib 网络压缩算法时,攻击者可利用该漏洞,从而引发安全风险。
影响范围
当同时满足以下条件时,您的实例会受此漏洞影响:
实例开启公网连接。
设置白名单为
0.0.0.0/0。使用了 zlib 压缩算法,即数据库参数
net.compression.compressors的值包含zlib,且客户端请求使用了zlib压缩。说明MongoDB 4.0及以上版本实例的
net.compression.compressors默认值包含zlib,MongoDB 3.4版本实例因不支持zlib而不受影响。实例的 MongoDB 版本为尚未修复该漏洞的版本,即下表中修复小版本号之前的版本。
云数据库 MongoDB 版研发团队已发布修复版本,请参考升级数据库小版本升级至最新版本。
受影响大版本号
修复小版本号
4.0
3.0.44
4.2
4.0.34
4.4
5.0.21
5.0
6.0.22
6.0
7.0.22
7.0
8.0.13
8.0
9.0.6
解决方案
建议您立即采取措施,以规避或完全消除安全风险。
彻底消除风险的措施:升级内核小版本。
云数据库 MongoDB 版已发布包含此漏洞修复的 MongoDB 小版本,关于最新的版本发布信息,请参考 MongoDB小版本说明。建议您参考升级数据库小版本升级至最新版本。
说明小版本升级旨在进行缺陷修复与性能优化,不涉及破坏性变更。即便进行大跨度升级,数据库内核及配套驱动亦能保持高度兼容。
临时规避措施:强化网络安全并移除 zlib 压缩算法。
如您暂时无法执行小版本升级,建议您尽快采取临时规避措施。
收紧白名单:若数据库白名单配置为
0.0.0.0/0,请务必移除并配置为实际业务 IP 范围。关闭公网访问:若非业务必需,建议参考管理公网连接地址及时释放公网 IP,降低暴露风险。
调整内核参数:将数据库参数
net.compression.compressors的值修改为snappy或zstd。具体操作请参见设置数据库参数。修改参数注意事项:
修改此参数会涉及到实例重启。
对于分片集群实例,您必须修改其所有节点(包括 Mongos、ConfigServer 和 Shard 节点)的该参数。
此项变更可能会使实例的 CPU 和网络带宽使用率增加最多 5%。
4.0及以下单节点架构实例未在控制台开放此内核参数的调整。
4.2及以上大版本才支持修改为
zstd。