Escanear grátis
Análise pendenteCVE-2026-8200

CVE-2026-8200: Vazamento de Dados em MongoDB Server

Plataforma

mongodb

Componente

mongodb

Corrigido em

8.3.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-8200 afeta o MongoDB Server, permitindo que, quando a validação de esquema está habilitada em uma coleção, mensagens de log local do servidor possam não redigir todos os dados do usuário quando uma atualização ou inserção viola o esquema da coleção. A correção está disponível a partir da versão 8.3.2.

Impacto e Cenários de Ataque

Um atacante explorando esta vulnerabilidade pode potencialmente obter acesso a dados confidenciais que deveriam estar protegidos pela validação de esquema. Embora a severidade seja classificada como baixa, a exposição de dados do usuário em logs pode representar um risco para a privacidade e conformidade regulatória. A exploração bem-sucedida requer acesso para executar operações de atualização ou inserção que violem o esquema da coleção. A quantidade de dados expostos dependerá do conteúdo das operações de atualização ou inserção.

Contexto de Exploração

A vulnerabilidade CVE-2026-8200 foi publicada em 2026-05-13. A probabilidade de exploração é considerada baixa, pois requer a validação de esquema habilitada e a capacidade de violá-la. Não há evidências públicas de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas. Consulte o NVD e o CISA para obter atualizações sobre o status da vulnerabilidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N2.7LOWAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredHighNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Alto — conta de administrador ou privilegiada necessária.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentemongodb
FornecedorMongoDB, Inc.
Versão mínima7.0.0
Versão máxima8.3.2
Corrigido em8.3.2

Classificação de Fraqueza (CWE)

CWE-532

Linha do tempo

  1. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-8200 é atualizar o MongoDB Server para a versão 8.3.2 ou superior. Se a atualização imediata não for possível, revise e restrinja o acesso aos logs do servidor MongoDB para usuários não autorizados. Implementar políticas de retenção de logs para minimizar o período de tempo em que os logs são armazenados também pode ajudar a reduzir o risco. Monitore os logs do MongoDB em busca de atividades suspeitas relacionadas à validação de esquema. Após a atualização, confirme a correção verificando se os dados do usuário estão sendo devidamente redigidos nos logs.

Como corrigirtraduzindo…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar este problema. La actualización corrige la falla al no redactar adecuadamente los datos del usuario en los mensajes de registro de validación de esquema, previniendo la exposición de información sensible.

Perguntas frequentes

O que é CVE-2026-8200?

É uma vulnerabilidade de vazamento de dados no MongoDB Server que ocorre quando a validação de esquema está habilitada.

Estou afetado?

Se você estiver usando MongoDB Server nas versões 7.0.0–8.3.2 com a validação de esquema habilitada, você está potencialmente afetado. Atualize para a versão 8.3.2 ou superior.

Como corrigir?

Atualize o MongoDB Server para a versão 8.3.2 ou superior. Restrinja o acesso aos logs do servidor MongoDB.

Está sendo explorado?

Não há evidências públicas de exploração ativa, mas a possibilidade existe.

Onde posso aprender mais?

Consulte o NVD (https://nvd.nist.gov/) e o CISA (https://www.cisa.gov/) para obter informações adicionais.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...