Gratis scannen
Analyse in behandelingCVE-2026-8336

CVE-2026-8336: DoS in MongoDB Server 7.0-8.3.2

Platform

mongodb

Component

mongodb-server

Opgelost in

8.3.2

Bekijk op NVD
Opslaan

CVE-2026-8336 is een Denial of Service (DoS) kwetsbaarheid in MongoDB Server. Door het misbruiken van de $_internalJsEmit functie of de mapreduce command’s map functie, kan een geauthenticeerde gebruiker mongod laten crashen wanneer de server-side JavaScript engine wordt gebruikt. Dit resulteert in een verstoring van de service. Deze kwetsbaarheid treft MongoDB Server versies 7.0.0 tot en met 8.3.2 en is verholpen in versie 8.3.2.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van CVE-2026-8336 kan leiden tot een Denial of Service (DoS) aanval, waarbij de MongoDB Server crasht en onbruikbaar wordt. De aanval maakt gebruik van de $_internalJsEmit functie of de mapreduce command’s map functie om een crash in de server-side JavaScript engine te veroorzaken. Dit kan leiden tot dataverlies, operationele verstoringen en een verlies van beschikbaarheid. De impact is hoog, aangezien de kwetsbaarheid toegankelijk is voor geauthenticeerde gebruikers, wat een breed scala aan potentiële aanvallers omvat. De crash kan leiden tot een volledige herstart van de server, wat de downtime verder kan verlengen.

Uitbuitingscontext

CVE-2026-8336 is gepubliceerd op 2026-05-13. De kwetsbaarheid heeft een CVSS score van 7.5 (HIGH). Er zijn momenteel geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend. De kans op exploitatie wordt beschouwd als gemiddeld tot hoog, gezien de potentieel ernstige impact en de relatieve toegankelijkheid voor geauthenticeerde gebruikers. Er zijn geen meldingen van actieve campagnes bekend.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentmongodb-server
LeverancierMongoDB, Inc.
Minimumversie7.0.0
Maximumversie8.3.2
Opgelost in8.3.2

Zwakheidsclassificatie (CWE)

CWE-416

Tijdlijn

  1. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-8336 is het upgraden van MongoDB Server naar versie 8.3.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de $_internalJsEmit functie en het zorgvuldig valideren van input in de mapreduce command’s map functie. Het monitoren van de server-side JavaScript engine is cruciaal om potentiële aanvallen te detecteren. WAF-regels kunnen worden geïmplementeerd om verdachte patronen in JavaScript code te blokkeren. Na de upgrade, verifieer de fix door een testquery uit te voeren die de kwetsbare functies gebruikt en controleer of de server niet crasht.

Hoe te verhelpenwordt vertaald…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige un error de uso después de liberar que puede ser explotado por usuarios autenticados para causar un fallo en el servidor. Consulte la documentación oficial de MongoDB para obtener instrucciones detalladas sobre cómo actualizar.

Veelgestelde vragen

Wat is CVE-2026-8336?

CVE-2026-8336 is een Denial of Service (DoS) kwetsbaarheid in MongoDB Server die mongod kan laten crashen door misbruik van JavaScript functies.

Ben ik kwetsbaar?

Als u MongoDB Server gebruikt in versie 7.0.0 tot en met 8.3.2, dan bent u kwetsbaar voor deze DoS aanval.

Hoe kan ik dit oplossen?

Upgrade MongoDB Server naar versie 8.3.2 of hoger om de kwetsbaarheid te verhelpen. Beperk de toegang tot de $_internalJsEmit functie.

Wordt dit al misbruikt?

Er zijn momenteel geen meldingen van actieve exploitatiecampagnes bekend, maar de kwetsbaarheid is wel bekend en kan potentieel worden misbruikt.

Waar kan ik meer informatie vinden?

Raadpleeg de MongoDB security advisories en de NVD (National Vulnerability Database) voor meer details over CVE-2026-8336.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...