Популярная система управления базами данных MongoDB продолжает оставаться одной из самых востребованных платформ для хранения неструктурированных данных. Однако последнее обновление безопасности от 29 апреля 2026 года выявило сразу две серьезные уязвимости, которые затронули практически все актуальные версии продукта. Речь идет об угрозах, способных привести к отказу в обслуживании, манипулированию данными и обходу ограничений безопасности.
Детали уязвимостей
Согласно официальному бюллетеню MongoDB, проблемы зафиксированы в версиях сервера от 7.0.0 до 7.0.32, от 8.0.0 до 8.0.21, а также во всех сборках веток 8.1.* и 8.2.* вплоть до 8.2.7. Другими словами, под ударом оказалось огромное количество инсталляций по всему миру.
Первая уязвимость получила идентификатор CVE-2026-6914 и оценку 7,1 балла по шкале CVSS версии 4.0, что соответствует высокому уровню опасности. Суть проблемы кроется в механизме вычисления контрольной суммы MD5 для некорректно сформированных BSON-объектов. BSON - это бинарный формат хранения данных, используемый MongoDB. При определенных условиях обработка такого объекта вызывает целочисленное переполнение, то есть арифметическую ошибку, при которой число выходит за допустимые границы. В результате сервер теряет доступность и перестает отвечать на запросы.
Специалисты по безопасности отнесли данную уязвимость к категории CWE-191, описывающей целочисленное переполнение. Важно понимать, что для эксплуатации атакующему потребуется учетная запись с минимальными привилегиями, однако сама атака осуществляется удаленно по сети. Это значит, что злоумышленник, уже имеющий легитимный доступ к системе, может буквально "обрушить" всю базу данных, отправив специально подготовленный запрос.
Вторая уязвимость, зарегистрированная как CVE-2026-6915, получила более скромную оценку 5,3 балла, но в контексте безопасности корпоративных систем недооценивать ее не стоит. Проблема связана с командой updateUser, предназначенной для управления учетными записями. Из-за недостаточной проверки вводимых параметров (CWE-1284) аутентифицированный пользователь может вносить ограниченные изменения в данные аутентификации другого пользователя. Иными словами, злоумышленник способен модифицировать настройки, влияющие на то, как именно происходит проверка подлинности для чужой учетной записи.
Последствия такой атаки могут быть самыми разными. Например, злоумышленник может ослабить требования к паролю для целевого пользователя или изменить параметры блокировки после неудачных попыток входа. В конечном счете это открывает путь к компрометации учетной записи, которая в обычных условиях была защищена должным образом.
Обе уязвимости уже подтверждены разработчиком и включены в список CVE (Common Vulnerabilities and Exposures) - общепринятого реестра известных угроз безопасности. MongoDB выпустила исправления в версиях 7.0.32, 8.0.21 и 8.2.7. Ветка 8.1.*, судя по документации, полностью подвержена проблеме и не имеет патча - пользователям настоятельно рекомендуется перейти на актуальные сборки.
Стоит отметить, что обновления MongoDB для версий, достигших конца жизненного цикла, не выпускаются. Поэтому если ваша организация использует более старые сборки, единственным выходом остается миграция на поддерживаемую ветку. Откладывать это не стоит, особенно учитывая, что обе уязвимости эксплуатируются удаленно и не требуют физического доступа к серверу.
Специалистам по информационной безопасности стоит в первую очередь проверить версии MongoDB Server в своей инфраструктуре. Если используется одна из уязвимых сборок, необходимо как можно скорее установить обновление. Кроме того, рекомендуется пересмотреть политику доступа к системе управления базами данных. Поскольку обе уязвимости требуют наличия аутентифицированной сессии, стоит минимизировать количество пользователей с доступом к серверу и применять принцип наименьших привилегий. Также не лишним будет включить мониторинг системных журналов на предмет необычных запросов, связанных с вычислением контрольных сумм или изменением пользовательских настроек.
Таким образом, MongoDB оказалась в центре внимания ИБ-сообщества сразу по двум направлениям. Первая уязвимость грозит стабильности сервиса и может привести к полному отказу в обслуживании, что критично для приложений реального времени. Вторая создает угрозу для конфиденциальности и целостности данных, позволяя одному пользователю влиять на аутентификацию другого. Комбинация этих факторов делает обновление до актуальных версий обязательным для всех, кто использует MongoDB в корпоративной среде.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6915
- https://www.cve.org/CVERecord?id=CVE-2026-6914
- https://jira.mongodb.org/browse/SERVER-119679
- https://jira.mongodb.org/browse/SERVER-119981
