Analyse en attenteCVE-2026-8336

CVE-2026-8336: Crash mongod in MongoDB Server 7.0-8.3.2

Plateforme

mongodb

Composant

mongodb-server

Corrigé dans

8.3.2

Voir sur NVD

Sauvegarder

La vulnérabilité CVE-2026-8336 affecte MongoDB Server, permettant à un utilisateur authentifié de provoquer un crash du serveur mongod. En invoquant $_internalJsEmit ou la fonction map de la commande mapreduce d'une manière spécifique, un attaquant peut ensuite faire planter le serveur lors de l'utilisation du moteur JavaScript côté serveur (via $where, $function, l'étape de réduction de mapreduce, etc.). Cette vulnérabilité touche les versions de MongoDB Server 7.0 antérieures à 7.0.34, les versions 8.0 antérieures à 8.0.23, les versions 8.2 antérieures à 8.2.9 et les versions 8.3 antérieures à 8.3.2. La mise à jour vers la version corrigée 8.3.2 est fortement recommandée.

Impact et Scénarios d'Attaque

Un attaquant authentifié peut exploiter cette vulnérabilité pour provoquer un crash du serveur MongoDB, entraînant une déni de service. La perte de disponibilité du serveur peut avoir des conséquences importantes, en particulier dans les environnements de production. La vulnérabilité est particulièrement préoccupante car elle peut être déclenchée par l'utilisation de fonctionnalités JavaScript côté serveur, qui sont souvent utilisées pour des opérations complexes et potentiellement non sécurisées. La capacité de provoquer un crash du serveur rend la récupération plus difficile et peut entraîner une perte de données si les sauvegardes ne sont pas à jour. Cette vulnérabilité est plus grave que CVE-2026-8202 en raison de son score CVSS plus élevé.

Contexte d'Exploitation

La vulnérabilité CVE-2026-8336 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une connaissance approfondie du fonctionnement interne de MongoDB et de l'utilisation de JavaScript côté serveur. Il n'y a pas d'indicateurs publics d'exploitation active à ce jour. Il n'y a pas de KEV ou EPSS score disponible pour cette CVE. Consultez le NVD (National Vulnerability Database) et les avis de sécurité de MongoDB pour plus d'informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Vecteur CVSS

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
Privileges Required: Faible — tout compte utilisateur valide est suffisant.
User Interaction: Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope: Inchangé — impact limité au composant vulnérable.
Confidentiality: Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity: Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability: Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantmongodb-server

FournisseurMongoDB, Inc.

Version minimale7.0.0

Version maximale8.3.2

Corrigé dans8.3.2

Classification de Faiblesse (CWE)

CWE-416

Chronologie

Publiée2026-05-13

Mitigation et Contournements

La mitigation principale consiste à mettre à jour MongoDB Server vers la version 8.3.2 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux fonctions $_internalJsEmit et aux commandes mapreduce aux utilisateurs qui en ont réellement besoin. Surveillez attentivement les journaux du serveur MongoDB pour détecter des erreurs ou des comportements anormaux liés à l'exécution de JavaScript côté serveur. Envisagez de désactiver temporairement les fonctionnalités JavaScript côté serveur si cela est possible sans affecter les fonctionnalités essentielles. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en exécutant une requête qui devrait déclencher le problème et en observant le comportement du serveur.

Comment corrigertraduction en cours…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige un error de uso después de liberar que puede ser explotado por usuarios autenticados para causar un fallo en el servidor. Consulte la documentación oficial de MongoDB para obtener instrucciones detalladas sobre cómo actualizar.

Questions fréquentes

Qu'est-ce que CVE-2026-8336 ?

C'est une vulnérabilité qui permet à un utilisateur authentifié de faire planter le serveur MongoDB.

Suis-je affecté ?

Si vous utilisez MongoDB Server dans les versions 7.0.0 à 8.3.2, vous êtes potentiellement affecté.

Comment corriger ?

Mettez à jour MongoDB Server vers la version 8.3.2 ou ultérieure.

Est-ce que la vulnérabilité est exploitée ?

À ce jour, il n'y a pas d'indicateurs publics d'exploitation active, mais la vigilance est recommandée.

Où puis-je en apprendre davantage ?

Consultez le NVD (National Vulnerability Database) et les avis de sécurité de MongoDB pour plus d'informations.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers