無料スキャン
分析待ちCVE-2026-8201

CVE-2026-8201: Use-After-Free in MongoDB Server 8.3.2

プラットフォーム

mongodb

コンポーネント

mongodb

修正版

8.3.2

NVDで見る
保存

CVE-2026-8201 は MongoDB Server における脆弱性です。MongoDB の Field-Level Encryption (FLE) クエリ分析コンポーネントに use-after-free 脆弱性があり、クライアント側の mongocryptd および crypt_shared に影響します。この脆弱性は、クライアントが FLE 関連のクエリの構造を制御できる場合にトリガーされます。影響を受けるバージョンは MongoDB Server v7.0 から v8.3.2 までです。8.3.2 へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は MongoDB Server 上で任意のコードを実行できる可能性があります。攻撃者は、悪意のある FLE 関連のクエリを送信し、メモリ破壊を引き起こし、制御フローを乗っ取り、最終的にはサーバー上で任意のコードを実行できます。この脆弱性の影響範囲は広大であり、機密データへの不正アクセス、データの改ざん、さらにはサーバー全体の制御奪取につながる可能性があります。FLE を使用している環境では、特に注意が必要です。

悪用の状況

この CVE は 2026 年 5 月 13 日に公開されました。CVSS スコアは 6.4 (MEDIUM) であり、攻撃の可能性は中程度と考えられます。現時点では、公開されている PoC は確認されていませんが、use-after-free 脆弱性は深刻なセキュリティリスクであるため、注意が必要です。CISA および NVD の情報を常に確認し、最新の脅威インテリジェンスを把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:H6.4MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントmongodb
ベンダーMongoDB, Inc.
最小バージョン7.0.0
最大バージョン8.3.2
修正版8.3.2

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、MongoDB Server をバージョン 8.3.2 以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的に以前の安定バージョンにロールバックすることを検討してください。クライアント側の FLE クエリの検証を強化し、不正なクエリをブロックすることも有効です。また、MongoDB の監査ログを監視し、異常なアクティビティを検出するためのカスタム検出シグネチャ (Sigma/YARA パターン) を作成することも有効です。アップグレード後、バージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar esta vulnerabilidad de uso después de liberar.  Asegúrese de revisar las notas de la versión para cualquier cambio de compatibilidad antes de actualizar.  La actualización corrige el problema en el componente mongocryptd.

よくある質問

CVE-2026-8201 とは何ですか?

これは MongoDB Server の FLE クエリ分析コンポーネントにおける use-after-free 脆弱性で、クライアント側の mongocryptd および crypt_shared に影響します。

影響はありますか?

MongoDB Server v7.0.0–8.3.2 を使用しており、FLE を使用している場合は影響を受ける可能性があります。

どうすれば修正できますか?

MongoDB Server をバージョン 8.3.2 以降にアップグレードしてください。

悪用されていますか?

現時点では公開されている PoC は確認されていませんが、注意が必要です。

詳細についてはどこで学べますか?

MongoDB のセキュリティアドバイザリと NVD (National Vulnerability Database) を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...