Escanear grátis
Análise pendenteCVE-2026-8199

CVE-2026-8199: Negação de Serviço em MongoDB Server

Plataforma

mongodb

Componente

mongodb

Corrigido em

8.3.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-8199 afeta o MongoDB Server, permitindo que um usuário autenticado cause um consumo excessivo de memória através do processamento de expressões bitwise ($bitsAllSet, $bitsAnySet, $bitsAllClear, $bitsAnyClear). Isso pode levar à pressão na memória e, potencialmente, à perda de disponibilidade devido a erros de falta de memória (OOM). A correção está disponível a partir da versão 8.3.2.

Impacto e Cenários de Ataque

Um atacante explorando esta vulnerabilidade pode causar uma negação de serviço (DoS) no servidor MongoDB, esgotando os recursos de memória disponíveis. Isso pode levar à instabilidade do sistema, interrupção do serviço e perda de dados. A exploração bem-sucedida não permite a execução de código arbitrário, mas pode interromper as operações do banco de dados e afetar outros aplicativos que dependem dele. A severidade da negação de serviço dependerá da quantidade de memória consumida e da capacidade do sistema de lidar com a carga.

Contexto de Exploração

A vulnerabilidade CVE-2026-8199 foi publicada em 2026-05-13. A probabilidade de exploração é considerada baixa a média, pois requer um usuário autenticado e a capacidade de construir consultas específicas. Não há evidências públicas de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas. Consulte o NVD e o CISA para obter atualizações sobre o status da vulnerabilidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentemongodb
FornecedorMongoDB, Inc.
Versão mínima7.0.0
Versão máxima8.3.2
Corrigido em8.3.2

Classificação de Fraqueza (CWE)

CWE-1325

Linha do tempo

  1. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-8199 é atualizar o MongoDB Server para a versão 8.3.2 ou superior. Se a atualização imediata não for possível, considere restringir o uso de expressões bitwise em consultas, especialmente aquelas executadas por usuários não confiáveis. Monitore o uso da memória do servidor MongoDB e configure alertas para detectar picos incomuns. Implementar limites de recursos para usuários e consultas também pode ajudar a mitigar o impacto da vulnerabilidade. Após a atualização, confirme a correção monitorando o uso da memória e executando testes de carga.

Como corrigirtraduzindo…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar el riesgo de agotamiento de memoria.  Esta actualización aborda la vulnerabilidad al corregir el procesamiento de expresiones de coincidencia de bits, previniendo el uso excesivo de memoria y posibles denegaciones de servicio.

Perguntas frequentes

O que é CVE-2026-8199?

É uma vulnerabilidade de consumo excessivo de memória no MongoDB Server que pode levar à negação de serviço.

Estou afetado?

Se você estiver usando MongoDB Server nas versões 7.0.0–8.3.2, você está potencialmente afetado. Atualize para a versão 8.3.2 ou superior.

Como corrigir?

Atualize o MongoDB Server para a versão 8.3.2 ou superior. Restrinja o uso de expressões bitwise em consultas.

Está sendo explorado?

Não há evidências públicas de exploração ativa, mas a possibilidade existe.

Onde posso aprender mais?

Consulte o NVD (https://nvd.nist.gov/) e o CISA (https://www.cisa.gov/) para obter informações adicionais.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...