Компания MongoDB выпустила серию бюллетеней безопасности, в которых сообщила об устранении 14 уязвимостей в серверной части СУБД. Проблемы затронули все поддерживаемые ветки продукта - от версии 7.0.x до 8.3.x. Вендор рекомендует немедленно обновить инсталляции до версий 7.0.35, 8.0.24, 8.2.10 или 8.3.3 в зависимости от используемого релиза.
Суть уязвимостей
Уязвимости охватывают два основных вектора: удалённый отказ в обслуживании и раскрытие конфиденциальных данных. Наиболее критическими по шкале CVSS v4.0 стали:
- CVE-2026-9740 (оценка 8.7) - неконтролируемая рекурсия при валидации BSON. Неаутентифицированный злоумышленник может отправить специально сформированное сообщение, которое вызовет переполнение стека и крах процесса mongod. Проблема затрагивает все версии, начиная с 7.0.0, и не требует предварительного доступа к системе.
- CVE-2026-9742 (оценка 8.2) - некорректная валидация параметра механизма аутентификации в команде authenticate. Если в конфигурации включена аутентификация OIDC, неаутентифицированный клиент может задать определённые значения параметра, что приведёт к аварийному завершению сервера. Уязвимость присутствует в ветках 8.2 и 8.3.
- CVE-2026-9753 (оценка 7.2) - использование некорректного бинарного diff в стадии агрегации $_internalApplyOplogUpdate. Аутентифицированный пользователь с правом выполнения aggregate может отправить вредоносный diff, вызывающий чтение за границами памяти или крах процесса. Помимо отказа в обслуживании, эта уязвимость создаёт риск утечки данных.
Остальные 11 уязвимостей имеют оценки от 6.8 до 7.1 по CVSS v4.0. Среди них выделяются проблемы, связанные с записью учётных данных в журналы сервера (CVE-2026-9735, CVE-2026-9751), утечкой незашифрованных данных через стадию $vectorSearch при включённом шифровании на стороне клиента (CVE-2026-9741), а также многочисленные сценарии отказа в обслуживании через крах сервера при выполнении специальных агрегаций или запросов.
Технические детали и контекст
Большинство DoS-уязвимостей базируются на ошибках типа "достижимое утверждение" (reachable assertion) или разыменовании нулевого указателя. Например, CVE-2026-9747 возникает при добавлении параметров fromRouter:true и runtimeConstants.userRoles в агрегацию, что приводит к срабатыванию инварианта и аварийному завершению. CVE-2026-9752 - разыменование нулевого указателя при обработке GeoJSON GeometryCollection с полигоном, использующим строгую намотку, при построении индекса 2dsphere.
Отдельно стоит отметить CVE-2026-9754 - использование неинициализированной переменной в команде filemd5, позволяющее аутентифицированному пользователю с ролью read прочитать небольшой объём неинициализированной памяти стека. Эта уязвимость несёт риск раскрытия потенциально чувствительных данных, но её практическая эксплуатация требует определённых условий.
По данным бюллетеней, все уязвимости были обнаружены внутренними исследователями MongoDB либо сторонними специалистами, ответственными за ответственное раскрытие. Вендор не сообщает о случае реальной эксплуатации на момент публикации.
Затронутые версии и рекомендации
Согласно информации в CVE, список уязвимых версий для каждой проблемы может незначительно отличаться, однако в целом патчи требуются для следующих диапазонов:
- 7.0.x до 7.0.35;
- 8.0.x до 8.0.24;
- 8.2.x до 8.2.10;
- 8.3.x до 8.3.3.
Пользователям более ранних версий, включая 6.0.x и 5.0.x, следует перейти на поддерживаемые релизы, так как для них обновления безопасности не выпускаются.
Ресурсы с полным списком бюллетеней доступны в системе отслеживания ошибок MongoDB Jira (номера задач от SERVER-122207 до SERVER-126506). Идентификаторы CVE присвоены также для всех 14 уязвимостей (CVE-2026-9735 - CVE-2026-9754).
Резюме
Одновременное исправление 14 уязвимостей, часть из которых позволяет неаутентифицированному злоумышленнику удалённо остановить сервер, делает июньские патчи критически важными для всех организаций, использующих MongoDB. Затягивание с обновлением несёт риски как для доступности сервисов (через DoS), так и для конфиденциальности данных. Администраторам баз данных рекомендуется в кратчайшие сроки спланировать и провести обновление до указанных версий, особенно если система доступна из сети Интернет или используется в окружениях с низким уровнем доверия.
Ссылки
- https://jira.mongodb.org/browse/SERVER-122207
- https://jira.mongodb.org/browse/SERVER-123370
- https://jira.mongodb.org/browse/SERVER-123440
- https://jira.mongodb.org/browse/SERVER-123507
- https://jira.mongodb.org/browse/SERVER-123633
- https://jira.mongodb.org/browse/SERVER-123688
- https://jira.mongodb.org/browse/SERVER-123918
- https://jira.mongodb.org/browse/SERVER-123951
- https://jira.mongodb.org/browse/SERVER-124031
- https://jira.mongodb.org/browse/SERVER-124183
- https://jira.mongodb.org/browse/SERVER-124190
- https://jira.mongodb.org/browse/SERVER-124959
- https://jira.mongodb.org/browse/SERVER-125063
- https://jira.mongodb.org/browse/SERVER-126506
