Scanner gratuitement
Analyse en attenteCVE-2026-8202

CVE-2026-8202: DoS in MongoDB Server 7.0-8.3.2

Plateforme

mongodb

Composant

mongodb

Corrigé dans

8.3.2

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-8202 affecte MongoDB Server, permettant à un utilisateur authentifié doté des permissions d'agrégation de provoquer une déni de service (DoS). En utilisant un masque de caractères dense et une grande chaîne d'entrée dans les opérateurs d'agrégation $trim, $ltrim et $rtrim, un attaquant peut maintenir l'utilisation du CPU à 100% pendant une période prolongée. Cette vulnérabilité touche les versions de MongoDB Server 7.0 antérieures à 7.0.34, les versions 8.0 antérieures à 8.0.23, les versions 8.2 antérieures à 8.2.9 et les versions 8.3 antérieures à 8.3.2. La mise à jour vers la version corrigée 8.3.2 est recommandée.

Impact et Scénarios d'Attaque

Un attaquant authentifié, ayant les permissions d'agrégation, peut exploiter cette vulnérabilité pour provoquer une déni de service significatif. En saturant le CPU du serveur MongoDB à 100%, l'attaquant peut rendre le système inutilisable pour les autres utilisateurs légitimes. L'impact est particulièrement grave dans les environnements de production où la disponibilité des données est critique. Bien que l'exploitation nécessite des permissions d'agrégation, cela ne limite pas nécessairement l'impact, car ces permissions peuvent être accordées à un plus grand nombre d'utilisateurs que nécessaire. La durée de la dégradation des performances peut être prolongée, ce qui rend la reprise du service plus difficile.

Contexte d'Exploitation

La vulnérabilité CVE-2026-8202 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme faible à moyenne, en raison de la nécessité d'avoir des permissions d'agrégation. Il n'y a pas d'indicateurs publics d'exploitation active à ce jour. Il n'y a pas de KEV ou EPSS score disponible pour cette CVE. Consultez le NVD (National Vulnerability Database) et les avis de sécurité de MongoDB pour plus d'informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantmongodb
FournisseurMongoDB, Inc.
Version minimale7.0.0
Version maximale8.3.2
Corrigé dans8.3.2

Classification de Faiblesse (CWE)

CWE-770

Chronologie

  1. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour MongoDB Server vers la version 8.3.2 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de limiter les permissions d'agrégation aux utilisateurs qui en ont réellement besoin. En attendant la mise à jour, il est possible de mettre en place des règles WAF (Web Application Firewall) ou de proxy pour filtrer les requêtes d'agrégation suspectes, en particulier celles utilisant les opérateurs $trim, $ltrim et $rtrim avec des masques de caractères complexes. Surveillez l'utilisation du CPU du serveur MongoDB et configurez des alertes pour détecter une utilisation anormale. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en exécutant une requête d'agrégation qui devrait déclencher le problème et en observant l'utilisation du CPU.

Comment corrigertraduction en cours…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad. Esta actualización aborda el problema de agotamiento de la CPU al aplicar las operaciones de recorte en agregaciones con máscaras de caracteres densamente pobladas.

Questions fréquentes

Qu'est-ce que CVE-2026-8202 ?

C'est une vulnérabilité de déni de service (DoS) dans MongoDB Server qui permet à un utilisateur authentifié de saturer le CPU.

Suis-je affecté ?

Si vous utilisez MongoDB Server dans les versions 7.0.0 à 8.3.2, vous êtes potentiellement affecté.

Comment corriger ?

Mettez à jour MongoDB Server vers la version 8.3.2 ou ultérieure.

Est-ce que la vulnérabilité est exploitée ?

À ce jour, il n'y a pas d'indicateurs publics d'exploitation active, mais la vigilance est recommandée.

Où puis-je en apprendre davantage ?

Consultez le NVD (National Vulnerability Database) et les avis de sécurité de MongoDB pour plus d'informations.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...