無料スキャン
分析待ちCVE-2026-8202

CVE-2026-8202: DoS in MongoDB Server 7.0–8.3.2

プラットフォーム

mongodb

コンポーネント

mongodb

修正版

8.3.2

NVDで見る
保存

MongoDB Server における脆弱性 CVE-2026-8202 は、認証されたユーザーが $trim、$ltrim、および $rtrim などの集約演算子を悪用することで、CPU 使用率を長時間 100% に固定する Denial of Service (DoS) 攻撃を可能にします。この問題は、MongoDB Server v7.0.0 から v8.3.2 までのバージョンに影響を与えます。バージョン 8.3.2 へのアップグレードによりこの問題は修正されています。

影響と攻撃シナリオ

攻撃者は、MongoDB Server の集約パイプライン内で、高密度に埋められた chars マスクと大きな入力文字列を組み合わせることで、DoS 攻撃を実行できます。これにより、データベースサーバーの CPU 使用率が長時間 100% に固定され、他のリクエストの処理が遅延または停止する可能性があります。攻撃の成功には、集約権限を持つ認証済みユーザーが必要です。この脆弱性は、特に高負荷環境で、データベースサービスの可用性に重大な影響を与える可能性があります。類似の攻撃は、リソースを枯渇させることで、データベースの可用性を低下させ、ビジネスプロセスの中断やデータ損失につながる可能性があります。

悪用の状況

CVE-2026-8202 は 2026年5月13日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。EPSS スコアは不明ですが、認証が必要であるため、攻撃の複雑さは比較的高いと考えられます。NVD および CISA の情報も確認してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントmongodb
ベンダーMongoDB, Inc.
最小バージョン7.0.0
最大バージョン8.3.2
修正版8.3.2

弱点分類 (CWE)

CWE-770

タイムライン

  1. 公開日

緩和策と回避策

CVE-2026-8202 の軽減策として、まず MongoDB Server をバージョン 8.3.2 にアップグレードすることを推奨します。アップグレードが直ちに実行できない場合は、集約演算子 $trim、$ltrim、および $rtrim の使用を制限する WAF ルールまたはプロキシ設定を実装することを検討してください。また、集約パイプラインの入力文字列の長さを制限するなどの構成変更も有効です。アップグレード後、MongoDB Server の CPU 使用率を監視し、DoS 攻撃の兆候がないか確認してください。

修正方法翻訳中…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad. Esta actualización aborda el problema de agotamiento de la CPU al aplicar las operaciones de recorte en agregaciones con máscaras de caracteres densamente pobladas.

よくある質問

CVE-2026-8202 とは何ですか?

MongoDB Server の $trim, $ltrim, $rtrim 演算子における Denial of Service (DoS) 脆弱性です。認証されたユーザーが CPU 使用率を 100% に固定できます。

影響は受けますか?

MongoDB Server v7.0.0–8.3.2 を使用している場合は影響を受ける可能性があります。

どうすれば修正できますか?

MongoDB Server をバージョン 8.3.2 にアップグレードしてください。

悪用されていますか?

現時点では、公開されている PoC は確認されていません。

どこで詳細を学ぶことができますか?

MongoDB のセキュリティアドバイザリと NVD (National Vulnerability Database) を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...