Se ha descubierto una vulnerabilidad de severidad alta en MongoDB Server. Un actor malicioso autenticado en clústeres fragmentados podría comprometer la disponibilidad del servicio o acceder a información confidencial de los sistemas afectados.
Productos afectados
- MongoDB Server 8.2.x, versiones anteriores a 8.2.6.
- MongoDB Server 8.0.x, versiones anteriores a 8.0.20.
- MongoDB Server 7.0.x, versiones anteriores a 7.0.31.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-4148: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de uso después de la liberación. Un actor malicioso autenticado con permisos de lectura en un clúster fragmentado que ejecute una canalización de agregacion $lookup o $graphLookup especialmente diseñada podría provocar una denegación de servicio o el compromiso de la confidencialidad e integridad de los datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias