Escanear gratis
Análisis pendienteCVE-2026-8336

CVE-2026-8336: DoS en MongoDB Server 7.0 a 8.3.2

Plataforma

mongodb

Componente

mongodb-server

Corregido en

8.3.2

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-8336 es una falla de Denegación de Servicio (DoS) que afecta al servidor MongoDB. Esta vulnerabilidad permite a un usuario autenticado provocar un fallo en el proceso mongod al manipular la función $_internalJsEmit o la función mapreduce de manera específica, especialmente cuando se utiliza el motor de JavaScript del lado del servidor a través de $where, $function o la etapa de reducción de mapreduce. Las versiones afectadas son MongoDB Server v7.0 anteriores a 7.0.34, v8.0 anteriores a 8.0.23, v8.2 anteriores a 8.2.9 y v8.3 anteriores a 8.3.2. La solución es actualizar a la versión corregida.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad puede causar una interrupción significativa del servicio MongoDB. Al enviar solicitudes cuidadosamente elaboradas que involucren la función $_internalJsEmit o la función mapreduce de una manera específica, el atacante puede forzar al servidor mongod a fallar, lo que resulta en una denegación de servicio. Esto impide que las aplicaciones y servicios que dependen de MongoDB accedan a los datos y realicen operaciones, lo que puede provocar una interrupción del negocio y pérdida de productividad. La vulnerabilidad es particularmente preocupante porque requiere solo autenticación, lo que significa que un usuario con acceso legítimo al sistema podría, sin querer o intencionalmente, explotar la vulnerabilidad. El impacto potencial se extiende a cualquier aplicación o servicio que dependa de MongoDB, lo que afecta a una amplia gama de sistemas y usuarios.

Contexto de Explotación

La vulnerabilidad CVE-2026-8336 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media debido a que requiere autenticación, pero la complejidad de la explotación es relativamente baja. No se han reportado campañas activas de explotación en el momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas y los boletines de seguridad para obtener actualizaciones sobre cualquier actividad de explotación. Consulte el NVD (National Vulnerability Database) y CISA (Cybersecurity and Infrastructure Security Agency) para obtener información adicional y actualizaciones.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentemongodb-server
ProveedorMongoDB, Inc.
Versión mínima7.0.0
Versión máxima8.3.2
Corregido en8.3.2

Clasificación de Debilidad (CWE)

CWE-416

Cronología

  1. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2026-8336 es actualizar a MongoDB Server versión 8.3.2 o posterior. Si la actualización inmediata no es posible, considere las siguientes medidas de mitigación: limitar el acceso a la función $_internalJsEmit restringiendo los permisos de los usuarios. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear solicitudes sospechosas que puedan explotar la vulnerabilidad. Monitorear los registros de MongoDB en busca de patrones inusuales que puedan indicar un intento de explotación. Si se detecta una explotación, considere revertir a una copia de seguridad anterior del servidor MongoDB. Después de la actualización, confirme la mitigación ejecutando pruebas de carga para asegurar que el servidor MongoDB funcione correctamente y no sea susceptible a la denegación de servicio.

Cómo corregirlotraduciendo…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige un error de uso después de liberar que puede ser explotado por usuarios autenticados para causar un fallo en el servidor. Consulte la documentación oficial de MongoDB para obtener instrucciones detalladas sobre cómo actualizar.

Preguntas frecuentes

¿Qué es CVE-2026-8336 en MongoDB Server?

Es una vulnerabilidad de Denegación de Servicio (DoS) en MongoDB Server que permite a un usuario autenticado causar un fallo del servidor al manipular funciones específicas.

¿Estoy afectado/a por CVE-2026-8336 en MongoDB Server?

Si está utilizando MongoDB Server en las versiones 7.0.0–8.3.2, es probable que esté afectado. Verifique su versión y actualice lo antes posible.

¿Cómo soluciono CVE-2026-8336 en MongoDB Server?

Actualice a MongoDB Server versión 8.3.2 o posterior. Si no es posible, aplique medidas de mitigación como limitar el acceso y monitorear los registros.

¿Está siendo explotado activamente CVE-2026-8336?

Actualmente no se han reportado campañas activas de explotación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

¿Dónde encuentro el aviso oficial de MongoDB Server para CVE-2026-8336?

Consulte el NVD (National Vulnerability Database) y CISA (Cybersecurity and Infrastructure Security Agency) para obtener información adicional y actualizaciones sobre CVE-2026-8336.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...