無料スキャン
分析待ちCVE-2026-8336

CVE-2026-8336: DoS in MongoDB Server 7.0–8.3.2

プラットフォーム

mongodb

コンポーネント

mongodb-server

修正版

8.3.2

NVDで見る
保存

MongoDB Server における脆弱性 CVE-2026-8336 は、認証されたユーザーが $_internalJsEmit または mapreduce コマンドの map 関数を特定の形で呼び出した後、サーバーサイド JavaScript エンジンを使用する際に mongod プロセスをクラッシュさせる Denial of Service (DoS) 攻撃を可能にします。この問題は、MongoDB Server v7.0.0 から v8.3.2 までのバージョンに影響を与えます。バージョン 8.3.2 へのアップグレードによりこの問題は修正されています。

影響と攻撃シナリオ

攻撃者は、MongoDB Server の $_internalJsEmit 関数を不正に呼び出すか、mapreduce コマンドの map 関数を特定の形で実行することで、mongod プロセスをクラッシュさせることができます。これにより、データベースサービスが停止し、データへのアクセスが妨げられる可能性があります。この脆弱性は、特に重要なデータやミッションクリティカルなアプリケーションをホストする MongoDB インスタンスにとって、重大なリスクとなります。攻撃の成功には、認証されたユーザーが必要です。クラッシュは、データベースの可用性を低下させ、ビジネスプロセスの中断やデータ損失につながる可能性があります。

悪用の状況

CVE-2026-8336 は 2026年5月13日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。EPSS スコアは不明ですが、認証が必要であるため、攻撃の複雑さは比較的高いと考えられます。NVD および CISA の情報も確認してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントmongodb-server
ベンダーMongoDB, Inc.
最小バージョン7.0.0
最大バージョン8.3.2
修正版8.3.2

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日

緩和策と回避策

CVE-2026-8336 の軽減策として、まず MongoDB Server をバージョン 8.3.2 にアップグレードすることを強く推奨します。アップグレードが直ちに実行できない場合は、サーバーサイド JavaScript エンジンの使用を制限することを検討してください。具体的には、$where、$function、および mapreduce reduce ステージの使用を最小限に抑えるか、完全に無効にすることを検討してください。また、WAF ルールを使用して、不正な $_internalJsEmit 呼び出しや mapreduce コマンドの実行をブロックすることも有効です。アップグレード後、MongoDB Server の安定性を監視し、クラッシュの兆候がないか確認してください。

修正方法翻訳中…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige un error de uso después de liberar que puede ser explotado por usuarios autenticados para causar un fallo en el servidor. Consulte la documentación oficial de MongoDB para obtener instrucciones detalladas sobre cómo actualizar.

よくある質問

CVE-2026-8336 とは何ですか?

MongoDB Server における脆弱性で、認証済みユーザーが mongod プロセスをクラッシュさせ、DoS 攻撃を引き起こします。

影響は受けますか?

MongoDB Server v7.0.0–8.3.2 を使用している場合は影響を受ける可能性があります。

どうすれば修正できますか?

MongoDB Server をバージョン 8.3.2 にアップグレードしてください。

悪用されていますか?

現時点では、公開されている PoC は確認されていません。

どこで詳細を学ぶことができますか?

MongoDB のセキュリティアドバイザリと NVD (National Vulnerability Database) を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...