Escanear gratis
Análisis pendienteCVE-2026-8202

DoS de utilización de CPU post-autenticación a través de los operadores $trim/$ltrim/$rtrim

Plataforma

mongodb

Componente

mongodb

Corregido en

8.3.2

Ver en NVD
Guardar

Al utilizar una máscara de caracteres densamente poblada y una cadena de entrada grande en los operadores de agregación de MongoDB $trim, $ltrim y $rtrim, un usuario autenticado con permisos de agregación puede fijar la utilización de la CPU al 100% durante un período prolongado.

Este problema afecta a MongoDB Server v7.0 versiones anteriores a 7.0.34, v8.0 versiones anteriores a 8.0.23, v8.2 versiones anteriores a 8.2.9 y v8.3 versiones anteriores a 8.3.2.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityLowRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Bajo — denegación de servicio parcial o intermitente.

Software Afectado

Componentemongodb
ProveedorMongoDB, Inc.
Versión mínima7.0.0
Versión máxima8.3.2
Corregido en8.3.2

Clasificación de Debilidad (CWE)

CWE-770

Cronología

  1. Publicada

Cómo corregirlotraduciendo…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad. Esta actualización aborda el problema de agotamiento de la CPU al aplicar las operaciones de recorte en agregaciones con máscaras de caracteres densamente pobladas.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...