| 概要 | An authenticated user can cause excess memory usage via bitwise match expression AST processing of $bitsAllSet, $bitsAnySet, $bitsAllClear, and $bitsAnyClear. This contributes to memory pressure and may lead to availability loss by OOM. This issue impacts MongoDB Server v7.0 versions prior to 7.0.34, v8.0 versions prior to 8.0.23, v8.2 versions prior to 8.2.9 and v8.3 versions prior to 8.3.2. |
|---|---|
| 公表日 | 2026年5月13日13:17 |
| 登録日 | 2026年5月15日4:19 |
| 最終更新日 | 2026年5月14日7:31 |
| CVSS3.1 : MEDIUM | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | 高 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 7.0.0 | 7.0.34 | |||
| cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 8.0.0 | 8.0.23 | |||
| cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 8.2.0 | 8.2.9 | |||
| cpe:2.3:a:mongodb:mongodb:*:*:*:*:*:*:*:* | 8.3.0 | 8.3.2 | |||
| タイトル | MongoDB Inc.のMongoDBにおける不適切に制御された順次メモリ割り当てに関する脆弱性 |
|---|---|
| 概要 | 認証されたユーザーが$bitsAllSet、$bitsAnySet、$bitsAllClear、および$bitsAnyClearのビット単位の一致表現AST処理を介して過剰なメモリ使用を引き起こす可能性があります。これによりメモリへの負荷が増加し、OOM(メモリ不足)の発生によって可用性が低下する恐れがあります。この問題は、MongoDB Serverのバージョン7.0では7.0.34未満、v8.0では8.0.23未満、v8.2では8.2.9未満、およびv8.3では8.3.2未満のバージョンに影響します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月13日0:00 |
| 登録日 | 2026年5月15日10:55 |
| 最終更新日 | 2026年5月15日10:55 |
| MongoDB Inc. |
| MongoDB 7.0.0 以上 7.0.34 未満 |
| MongoDB 8.0.0 以上 8.0.23 未満 |
| MongoDB 8.2.0 以上 8.2.9 未満 |
| MongoDB 8.3.0 以上 8.3.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月15日] 掲載 |
2026年5月15日10:55 |