Se han descubierto vulnerabilidades de severidad alta en productos MongoDB. Un actor malicioso podría comprometer la disponibilidad del servicio o provocar condiciones de desbordamiento de búfer en los sistemas afectados.
Productos afectados
- MongoDB Server: versiones 8.2 anteriores a 8.2.7.
- MongoDB C Driver (integración con Cyrus SASL).
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-6691: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de desbordamiento de búfer en memoria dinámica en la integración de Cyrus SASL del controlador de MongoDB para C. Un actor malicioso local podría explotar el copiado inseguro de cadenas durante la canonización de nombres de usuario mediante el envío de entradas no confiables en una URI de MongoDB, permitiendo el compromiso del sistema antes de cualquier autenticación.
CVE-2026-8063: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de desreferencia de puntero NULL en el proceso mongod. Un actor malicioso remoto y autenticado podría provocar la caída inesperada del servidor al ejecutar operaciones específicas ($rankFusion o $scoreFusion) con una canalización vacía sobre una vista, resultando en una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias