無料スキャン
分析待ちCVE-2026-8199

CVE-2026-8199: Memory Exhaustion in MongoDB Server 8.3.2

プラットフォーム

mongodb

コンポーネント

mongodb

修正版

8.3.2

NVDで見る
保存

CVE-2026-8199 は MongoDB Server における脆弱性です。認証されたユーザーが、$bitsAllSet、 $bitsAnySet、 $bitsAllClear、および $bitsAnyClear のビット演算マッチ式 AST の処理によって、過剰なメモリ使用を引き起こす可能性があります。これにより、メモリ圧力がかかり、OOM (Out of Memory) を引き起こす可能性があります。影響を受けるバージョンは MongoDB Server v7.0 から v8.3.2 までです。8.3.2 へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は MongoDB Server のメモリを枯渇させ、サービス拒否 (DoS) 攻撃を引き起こす可能性があります。攻撃者は、大量のビット演算マッチ式を含むクエリを送信することで、サーバーのメモリ使用量を急速に増加させ、最終的に OOM エラーを引き起こし、サーバーをダウンさせることができます。この脆弱性の影響範囲は、データベースサービスへのアクセス不能につながる可能性があります。特に、リソースの限られた環境では、この脆弱性の影響は大きくなる可能性があります。

悪用の状況

この CVE は 2026 年 5 月 13 日に公開されました。CVSS スコアは 6.5 (MEDIUM) であり、攻撃の可能性は中程度と考えられます。現時点では、公開されている PoC は確認されていませんが、メモリ枯渇攻撃は一般的な攻撃手法であるため、注意が必要です。CISA および NVD の情報を常に確認し、最新の脅威インテリジェンスを把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントmongodb
ベンダーMongoDB, Inc.
最小バージョン7.0.0
最大バージョン8.3.2
修正版8.3.2

弱点分類 (CWE)

CWE-1325

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、MongoDB Server をバージョン 8.3.2 以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的に以前の安定バージョンにロールバックすることを検討してください。WAF やプロキシサーバーを使用して、過剰なメモリ使用を引き起こす可能性のあるクエリをブロックすることも可能です。また、MongoDB のメモリ使用量を監視し、異常なアクティビティを検出するためのカスタム検出シグネチャ (Sigma/YARA パターン) を作成することも有効です。アップグレード後、バージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar el riesgo de agotamiento de memoria.  Esta actualización aborda la vulnerabilidad al corregir el procesamiento de expresiones de coincidencia de bits, previniendo el uso excesivo de memoria y posibles denegaciones de servicio.

よくある質問

CVE-2026-8199 とは何ですか?

これは MongoDB Server における脆弱性で、ビット演算マッチ式 AST の処理による過剰なメモリ使用を引き起こし、OOM を引き起こす可能性があります。

影響はありますか?

MongoDB Server v7.0.0–8.3.2 を使用している場合は影響を受ける可能性があります。

どうすれば修正できますか?

MongoDB Server をバージョン 8.3.2 以降にアップグレードしてください。

悪用されていますか?

現時点では公開されている PoC は確認されていませんが、注意が必要です。

詳細についてはどこで学べますか?

MongoDB のセキュリティアドバイザリと NVD (National Vulnerability Database) を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...