MongoDB - CVE-2026-4148
Date de publication :
Il s'agit d'une vulnérabilité dans le moteur d’agrégation de MongoDB Server sur les clusters shardés.
MongoDB Server est un système de gestion de base de données orienté documents. Il peut être déployé en cluster distribué et en architecture sharded pour répartir les données et les traitements.
Le défaut provient d’un use-after-free sur ExpressionContext pendant le clonage de sous-pipelines. Des expressions conservées par $lookup ou $graphLookup peuvent garder un pointeur brut vers un contexte déjà libéré après destruction du pipeline d’origine. Le déclenchement nécessite un utilisateur authentifié avec le rôle read et l’envoi d’un pipeline d’agrégation spécialement construit impliquant $lookup ou $graphLookup dans un chemin de clonage de pipeline shardé.
Elle permet de provoquer un comportement indéfini du serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
• MongoDB Server 7.0 versions antérieures à 7.0.31.
• MongoDB Server 8.0 versions antérieures à 8.0.20.
• MongoDB Server 8.2 versions antérieures à 8.2.6.
• MongoDB Server 8.3 versions antérieures au correctif prévu dans la branche 8.3.
Solutions ou recommandations
• MongoDB Server 8.0.20 et supérieures.
• MongoDB Server 8.2.6 et supérieures.
• MongoDB Server 8.3 avec le correctif intégré et versions supérieures.