Se han descubierto vulnerabilidades de severidad alta en productos MongoDB Server. Un actor malicioso podría comprometer la disponibilidad del servicio mediante la provocación de una denegación de servicio.
Productos afectados
- MongoDB Server 8.2.x, versiones anteriores a 8.2.4.
- MongoDB Server 8.0.x, versiones anteriores a 8.0.18.
- MongoDB Server 7.0.x, versiones anteriores a 7.0.29.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-25611: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de consumo asimétrico de recursos. Un actor malicioso remoto no autenticado podría agotar la memoria disponible y provocar la caída del servidor MongoDB mediante el envío de una serie de mensajes especialmente diseñados.
CVE-2026-1848: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de asignación de recursos sin límites ni limitaciones. Un actor malicioso remoto podría provocar la caída del servidor si el número de conexiones recibidas a través del puerto proxy excede los recursos disponibles, debido a que dichas conexiones podrían no contabilizarse correctamente hacia el límite total permitido.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias