Scanner gratuitement
Analyse en attenteCVE-2026-8199

CVE-2026-8199: Déni de Service par Consommation Mémoire dans MongoDB

Plateforme

mongodb

Composant

mongodb

Corrigé dans

8.3.2

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-8199 affecte MongoDB Server et permet à un utilisateur authentifié de provoquer une consommation excessive de mémoire via le traitement d'expressions AST de correspondance de bits avec $bitsAllSet, $bitsAnySet, $bitsAllClear et $bitsAnyClear. Cette consommation excessive de mémoire peut entraîner une pression sur la mémoire et potentiellement une perte de disponibilité due à une erreur de dépassement de capacité (OOM). Les versions affectées incluent MongoDB Server v7.0 antérieures à 7.0.34, v8.0 antérieures à 8.0.23, v8.2 antérieures à 8.2.9 et v8.3 antérieures à 8.3.2. Une correction est disponible dans la version 8.3.2.

Impact et Scénarios d'Attaque

Un attaquant authentifié peut exploiter cette vulnérabilité en construisant des requêtes MongoDB qui utilisent intensivement les opérateurs de correspondance de bits mentionnés. Le traitement de ces requêtes peut entraîner une consommation excessive de mémoire par le serveur MongoDB, ce qui peut conduire à une dégradation des performances, voire à une perte de disponibilité si le serveur manque de mémoire. L'impact est plus important dans les environnements où la mémoire est limitée ou où le serveur est soumis à une charge importante. Bien que l'exploitation ne conduise pas directement à l'exécution de code arbitraire, la perte de disponibilité peut avoir des conséquences importantes pour les applications qui dépendent de MongoDB.

Contexte d'Exploitation

La vulnérabilité CVE-2026-8199 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite une authentification et la construction de requêtes spécifiques. Il n'existe pas de preuve publique d'exploitation active à ce jour. Consultez le site de l'NVD (National Vulnerability Database) et du CISA (Cybersecurity and Infrastructure Security Agency) pour les dernières informations et mises à jour.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantmongodb
FournisseurMongoDB, Inc.
Version minimale7.0.0
Version maximale8.3.2
Corrigé dans8.3.2

Classification de Faiblesse (CWE)

CWE-1325

Chronologie

  1. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour MongoDB Server vers la version 8.3.2 ou ultérieure. En attendant, limitez les privilèges des utilisateurs authentifiés pour restreindre leur capacité à exécuter des requêtes complexes utilisant les opérateurs de correspondance de bits. Surveillez l'utilisation de la mémoire du serveur MongoDB et configurez des alertes pour détecter une consommation excessive. Envisagez d'utiliser des outils de gestion de la mémoire pour optimiser l'utilisation de la mémoire par MongoDB. Il n'existe pas de règles WAF ou de signatures Sigma/YARA spécifiques à cette vulnérabilité, mais une analyse du trafic réseau peut aider à identifier les requêtes suspectes. Après la mise à jour, vérifiez l'utilisation de la mémoire et assurez-vous que la version corrigée est bien en cours d'exécution.

Comment corrigertraduction en cours…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar el riesgo de agotamiento de memoria.  Esta actualización aborda la vulnerabilidad al corregir el procesamiento de expresiones de coincidencia de bits, previniendo el uso excesivo de memoria y posibles denegaciones de servicio.

Questions fréquentes

Qu'est-ce que CVE-2026-8199 ?

C'est une vulnérabilité de déni de service dans MongoDB Server, permettant à un utilisateur authentifié de provoquer une consommation excessive de mémoire.

Suis-je affecté ?

Si vous utilisez MongoDB Server v7.0.0–8.3.2, vous êtes potentiellement affecté.

Comment corriger ?

Mettez à jour MongoDB Server vers la version 8.3.2 ou ultérieure. En attendant, limitez les privilèges des utilisateurs.

Est-ce que la vulnérabilité est exploitée ?

À ce jour, il n'y a pas de preuve publique d'exploitation active.

Où puis-je en apprendre davantage ?

Consultez le site de l'NVD (National Vulnerability Database) et du CISA (Cybersecurity and Infrastructure Security Agency) pour plus d'informations.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...