一批新的MongoDB服务器漏洞集群已浮出水面,对广泛使用的文档数据库构成真实风险。厂商已修补四个独立缺陷,涵盖范围从远程崩溃到内存信息泄露不等。
内存漏洞居首
两个最严重的漏洞CVSS评分均为8.7。CVE-2026-11933是服务器端JavaScript引擎中的一个释放后使用(use-after-free)漏洞,拥有读取权限的已认证用户可通过 $where 或 $function 调用触发该漏洞,导致服务器泄露进程内存或直接崩溃。
CVE-2026-9740的利用门槛则更低。由于该漏洞存在于BSON验证逻辑中,未经认证的攻击者只需发送一条精心构造的消息即可使mongod进程崩溃。该缺陷源于不受控制的递归调用,会悄然重置内部深度追踪机制。
已认证崩溃漏洞亦不容忽视
另外两个评分为7.1的漏洞同样值得关注。CVE-2026-9750允许已认证用户破坏内部元数据,导致服务器崩溃或查询结果错误。CVE-2026-9743则利用聚合操作中的空子管道缺陷,通过构造特定的getMore请求即可使服务器下线。
此次MongoDB服务器漏洞集群影响范围跨越多个版本,受影响分支包括7.0、8.0、8.2及8.3等。
立即打补丁
由于其中一个漏洞无需任何登录凭证即可利用,管理员应尽快升级。可直接从MongoDB社区下载页面获取最新版本并迁移至已修复的发行版。
已修复版本包括8.0.26、8.2.11和8.3.4,以及若干旧版本的维护更新。建议在正式部署前仍进行补丁测试,但鉴于存在无需认证的崩溃漏洞,速度应作为首要考量。
https://jira.mongodb.org/browse/SERVER-128125
夜雨聆风