Escanear grátis
Análise pendenteCVE-2026-8336

CVE-2026-8336: DoS em MongoDB Server 7.0 a 8.3.2

Plataforma

mongodb

Componente

mongodb-server

Corrigido em

8.3.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-8336 é uma falha de Negação de Serviço (DoS) no MongoDB Server. Após invocar $_internalJsEmit ou a função map do comando mapreduce de uma maneira específica, um usuário autenticado pode subsequentemente causar o crash do mongod ao usar o mecanismo JavaScript do lado do servidor (através de $where, $function, estágio de redução do mapreduce, etc.) de uma maneira específica. Isso resulta em uma negação de serviço pós-autenticação. Essa vulnerabilidade afeta o MongoDB Server nas versões 7.0.0 até 8.3.2 e foi corrigida na versão 8.3.2.

Impacto e Cenários de Ataque

Um atacante autenticado pode explorar essa vulnerabilidade para causar uma interrupção significativa do serviço MongoDB, levando ao crash do servidor. Ao manipular a execução de código JavaScript no servidor, o atacante pode induzir o mongod a um estado de erro, resultando em sua interrupção. O impacto pode ser severo, pois o crash do servidor pode levar à perda de dados, interrupção de aplicações e indisponibilidade do banco de dados. A recuperação do serviço pode exigir a reinicialização do servidor, o que pode levar tempo e causar interrupções adicionais. A exploração bem-sucedida pode resultar em uma indisponibilidade prolongada do serviço, exigindo intervenção manual para restaurar a operação normal.

Contexto de Exploração

A vulnerabilidade CVE-2026-8336 foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, devido à necessidade de autenticação e conhecimento de comandos específicos. Não há relatos públicos de exploração ativa no momento da publicação. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter atualizações sobre o status da vulnerabilidade e possíveis campanhas de exploração.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityHighCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentemongodb-server
FornecedorMongoDB, Inc.
Versão mínima7.0.0
Versão máxima8.3.2
Corrigido em8.3.2

Classificação de Fraqueza (CWE)

CWE-416

Linha do tempo

  1. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-8336 é atualizar o MongoDB Server para a versão 8.3.2 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso a funções JavaScript internas e comandos potencialmente perigosos, como $_internalJsEmit e o comando mapreduce. Monitore de perto o comportamento do servidor MongoDB e configure alertas para detectar atividades suspeitas. Implementar regras de firewall para limitar o tráfego de rede para o servidor MongoDB pode ajudar a reduzir a superfície de ataque. Após a atualização, confirme a correção executando um teste de regressão para garantir que a vulnerabilidade foi efetivamente mitigada.

Como corrigirtraduzindo…

Actualice su instancia de MongoDB Server a la versión 7.0.34, 8.0.23, 8.2.9 o 8.3.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige un error de uso después de liberar que puede ser explotado por usuarios autenticados para causar un fallo en el servidor. Consulte la documentación oficial de MongoDB para obtener instrucciones detalladas sobre cómo actualizar.

Perguntas frequentes

O que é CVE-2026-8336?

É uma vulnerabilidade de Negação de Serviço (DoS) no MongoDB Server que pode causar o crash do servidor.

Estou afetado?

Se você estiver usando MongoDB Server nas versões 7.0.0–8.3.2, você está potencialmente afetado.

Como corrigir?

Atualize para a versão 8.3.2 ou superior do MongoDB Server.

Está sendo explorado?

Não há relatos públicos de exploração ativa no momento, mas a probabilidade é média.

Onde posso aprender mais?

Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para mais informações.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...