MongoDB修補記憶體配置漏洞,小型封包即可能導致資料庫當機
漏洞簡介
資安業者Cato Networks旗下威脅研究團隊Cato CTRL,於3月4日揭露一項MongoDB資料庫的高風險漏洞,編號CVE-2026-25611。攻擊者可在未經身分驗證的情況下,透過特製小型封包耗盡伺服器記憶體,使資料庫服務在短時間內當機。
技術細節
該漏洞為MongoDB在處理壓縮訊息時,因未適當驗證參數長度,導致在解析文件流程中讀取未初始化之記憶體內容,進而觸發記憶體耗盡問題。攻擊者僅需發送特製的壓縮封包,即可誘發系統資源耗盡,造成資料庫服務中斷。
影響範圍與建議
- 此漏洞影響所有未及時修補的MongoDB執行個體。
- 建議使用者盡速更新至最新版本,並啟用適當的參數驗證機制以避免風險。
- 系統管理者應監控記憶體使用狀況,並設定適當的資源限制與警報機制。