Kostenlos scannen
Analyse ausstehendCVE-2026-8200

CVE-2026-8200: Data Leak in MongoDB Server 8.3.2

Plattform

mongodb

Komponente

mongodb

Behoben in

8.3.2

Auf NVD ansehen
Speichern

CVE-2026-8200 is a low-severity vulnerability in MongoDB Server that relates to data redaction in server logs. When schema validation is enabled on a collection and an update or insert operation violates the collection's schema, the local server log message generated may not properly redact all user data. This could potentially expose sensitive information. Affected versions include MongoDB Server v7.0 prior to 7.0.34, v8.0 prior to 8.0.23, v8.2 prior to 8.2.9, and v8.3 prior to 8.3.2. A fix is available in version 8.3.2.

Auswirkungen und Angriffsszenarien

The primary impact of CVE-2026-8200 is the potential for sensitive user data to be inadvertently logged and exposed. While the vulnerability requires schema validation to be enabled, the potential for data leakage remains a concern, especially in environments handling personally identifiable information (PII) or other sensitive data. An attacker would need to craft an invalid update or insert operation to trigger the logging of the unredacted data. The blast radius is limited to the server logs themselves, but the potential for unauthorized access to those logs could lead to broader data compromise.

Ausnutzungskontext

CVE-2026-8200 was published on 2026-05-13. Its CVSS score is 2.7 (LOW). No public Proof-of-Concept (POC) exploits have been publicly disclosed as of this writing. The EPSS score is pending evaluation. Monitor security advisories from MongoDB and CISA for updates on exploitation activity and potential mitigation strategies.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N2.7LOWAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentemongodb
HerstellerMongoDB, Inc.
Mindestversion7.0.0
Höchstversion8.3.2
Behoben in8.3.2

Schwachstellen-Klassifikation (CWE)

CWE-532

Zeitleiste

  1. Veröffentlicht

Mitigation und Workarounds

The recommended mitigation for CVE-2026-8200 is to upgrade MongoDB Server to version 8.3.2 or later. If an immediate upgrade is not possible, consider carefully reviewing and restricting access to MongoDB server logs. Implement robust logging policies to ensure that sensitive data is properly redacted. Regularly audit MongoDB configuration to verify that schema validation is enabled and functioning correctly. After upgrading, confirm the fix by attempting to insert or update data that violates the schema and verifying that the server logs do not contain unredacted user data.

So behebenwird übersetzt…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar este problema. La actualización corrige la falla al no redactar adecuadamente los datos del usuario en los mensajes de registro de validación de esquema, previniendo la exposición de información sensible.

Häufig gestellte Fragen

What is CVE-2026-8200?

It's a low-severity vulnerability in MongoDB Server where user data might not be fully redacted in server logs when schema validation fails.

Am I affected?

If you're running MongoDB Server versions 7.0.0–8.3.2 with schema validation enabled, you are potentially affected.

How do I fix it?

Upgrade to MongoDB Server version 8.3.2 or later. Review and restrict access to server logs as a temporary measure.

Is it being exploited?

No public exploits are currently known, but it's important to address the potential for data leakage.

Where can I learn more?

Refer to the MongoDB security advisory and the NVD entry for CVE-2026-8200 for detailed information.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...