Vulnerabilidades en productos MongoDB

17/06/2026 Noticias 0

Se han descubierto múltiples vulnerabilidades en productos de MongoDB. Entre ellas tres de severidad alta. Un actor malicioso podría aprovechar estas condiciones para provocar la denegación de servicio mediante la caída del proceso principal, acceder a información confidencial, alterar datos o eludir restricciones de seguridad.

Productos afectados

Servidor MongoDB (Major Releases)

  • 8.0.x, versiones anteriores a 8.0.24
  • 7.0.x, versiones anteriores a la 7.0.35

Servidor MongoDB (Feature / Rapid Releases)

  • 8.3.x, versiones anteriores a 8.3.3
  • 8.2.x, versiones anteriores a 8.2.10

Impacto

Las vulnerabilidades se han identificado como:

CVE-2026-9740: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de recursión no controlada en las rutinas de validación de BSON utilizadas en el procesamiento de mensajes del protocolo de red de MongoDB. Un actor malicioso remoto no autenticado podría enviar un mensaje diseñado con estructuras anidadas que agote la pila de llamadas, provocando la caída inmediata del proceso mongod y una denegación de servicio generalizada.

CVE-2026-9742: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de validación de entrada incorrecta en el mecanismo de autenticación OpenID Connect. Cuando esta característica está habilitada, un actor malicioso remoto no autenticado podría manipular el parámetro “mechanism” dentro del comando de inicio de sesión. El despacho de comandos acepta y procesa valores inesperados de forma insegura desencadenando un fallo previo a la autenticación que detiene el servicio.

CVE-2026-9753: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de estructura en la etapa interna de agregación $_internalApplyOplogUpdate. Un actor malicioso remoto autenticado con privilegios básicos podría enviar un payload binario manipulado con campos de longitud arbitrarios, lo que le permitiría comprometer la disponibilidad del servicio mediante denegación de servicio o acceder a datos confidenciales en la memoria adyacente.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-9740
https://www.cve.org/CVERecord?id=CVE-2026-9742
https://www.cve.org/CVERecord?id=CVE-2026-9753
https://github.com/advisories/GHSA-wvrr-4w4f-3v54
https://github.com/advisories/GHSA-j72p-fv5p-4r63
https://github.com/advisories/GHSA-qwqf-36v4-65w4