【安全资讯】MongoDB存在身份验证不当漏洞（CVE-2025-3085）

近日，安恒信息CERT监测MongoDB在Linux上运行启用了TLS和CRL吊销状态检查时，无法检查对端证书链中中间证书的吊销状态。在MONGODB-X509（默认未启用）的情况下，这可能导致身份验证不当，此问题可能影响集群内部认证。

影响版本：

5.0 <= MongoDB Server < 5.0.31

6.0 <= MongoDB Server < 6.0.20

7.0 <= MongoDB Server < 7.0.16

8.0 <= MongoDB Server < 8.0.4

官方修复方案:

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

临时缓解方案:

若用户无法立即升级，在不影响业务的情况下可以禁用CRL检查，确保allowInvalidCertificates:false。

参考链接：

https://jira.mongodb.org/browse/SERVER-95445