CVE-2026-11933
Post-authentication use-after-free in server-side JavaScript BSON-to-array conversion
En resumen
Un usuario autenticado puede provocar un error de memoria en el motor JavaScript de MongoDB al convertir documentos BSON a arrays, potencialmente filtrando datos sensibles o derribando el servidor.
Detalle técnico
Una vulnerabilidad de use-after-free en la conversión BSON-a-array del JavaScript server-side de MongoDB permite que usuarios autenticados con privilegios de lectura y capacidad de ejecutar JavaScript (via operadores $where o $function) accedan a memoria liberada, posibilitando divulgación de información de la memoria del proceso mongod o negación de servicio por crash.
Resumen generado y traducido por IA a partir de la descripción oficial.
A use-after-free vulnerability exists in MongoDB Server's server-side JavaScript engine when converting BSON documents to JavaScript arrays. An authenticated user with read privileges who is able to run server-side JavaScript (for example, via $where or $function) can cause the server to access memory that has already been freed. This may result in disclosure of information from the mongod process memory or a denial of service through a server crash.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
MongoDB · MongoDB¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →