無料スキャン
分析待ちCVE-2026-8200

CVE-2026-8200: Data Leak in MongoDB Server 8.3.2

プラットフォーム

mongodb

コンポーネント

mongodb

修正版

8.3.2

NVDで見る
保存

CVE-2026-8200 は MongoDB Server における脆弱性です。スキーマ検証が有効なコレクションに対して更新または挿入操作を実行し、スキーマ違反が発生した場合、ローカルサーバーログメッセージからユーザーデータが完全に削除されない可能性があります。影響を受けるバージョンは MongoDB Server v7.0 から v8.3.2 までです。8.3.2 へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は MongoDB Server のログから機密情報を漏洩させることができます。攻撃者は、スキーマ違反を引き起こす更新または挿入操作を送信し、ログメッセージにユーザーデータが含まれているかどうかを確認できます。この脆弱性の影響範囲は、機密データへの不正アクセスにつながる可能性があります。特に、ログが外部に公開されている場合、この脆弱性の影響は大きくなる可能性があります。

悪用の状況

この CVE は 2026 年 5 月 13 日に公開されました。CVSS スコアは 2.7 (LOW) であり、攻撃の可能性は低いと考えられます。現時点では、公開されている PoC は確認されていませんが、ログからの情報漏洩は一般的なセキュリティリスクであるため、注意が必要です。CISA および NVD の情報を常に確認し、最新の脅威インテリジェンスを把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N2.7LOWAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントmongodb
ベンダーMongoDB, Inc.
最小バージョン7.0.0
最大バージョン8.3.2
修正版8.3.2

弱点分類 (CWE)

CWE-532

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、MongoDB Server をバージョン 8.3.2 以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的に以前の安定バージョンにロールバックすることを検討してください。MongoDB のログ設定を適切に構成し、機密情報がログに記録されないようにする必要があります。また、ログへのアクセスを制限し、不正アクセスを防止するためのセキュリティ対策を講じることも重要です。アップグレード後、バージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar este problema. La actualización corrige la falla al no redactar adecuadamente los datos del usuario en los mensajes de registro de validación de esquema, previniendo la exposición de información sensible.

よくある質問

CVE-2026-8200 とは何ですか?

これは MongoDB Server における脆弱性で、スキーマ検証が有効な場合、ログメッセージからユーザーデータが漏洩する可能性があります。

影響はありますか?

MongoDB Server v7.0.0–8.3.2 を使用しており、スキーマ検証が有効な場合は影響を受ける可能性があります。

どうすれば修正できますか?

MongoDB Server をバージョン 8.3.2 以降にアップグレードしてください。

悪用されていますか?

現時点では公開されている PoC は確認されていませんが、注意が必要です。

詳細についてはどこで学べますか?

MongoDB のセキュリティアドバイザリと NVD (National Vulnerability Database) を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...