製品・ソフトウェアに関する情報

JVN脆弱性詳細

MongoDB Inc.のMongoDBにおける境界外書き込みに関する脆弱性

タイトル	MongoDB Inc.のMongoDBにおける境界外書き込みに関する脆弱性
概要	MongoDBサーバーの時系列コレクション実装における問題により、データベースの書き込み権限を持つ認証ユーザーがmongodプロセス内で境界外メモリ書き込みを引き起こす可能性があります。この問題は、時系列バケットカタログ内の内部フィールド名からインデックスへのマッピングが不整合になることが原因です。特定の条件下で、これにより任意のコードが実行される可能性があります。この問題は、MongoDBサーバーのv5.0系では5.0.33未満、v6.0系では6.0.28未満、v7.0系では7.0.34未満、v8.0系では8.0.23未満、v8.2系では8.2.9未満、v8.3系では8.3.2未満のバージョンに影響を与えます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月13日0:00
登録日	2026年5月20日13:24
最終更新日	2026年5月20日13:24

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

MongoDB Inc.

MongoDB 5.0.0 以上 5.0.33 未満

MongoDB 6.0.0 以上 6.0.28 未満

MongoDB 7.0.0 以上 7.0.34 未満

MongoDB 8.0.0 以上 8.0.23 未満

MongoDB 8.2.0 以上 8.2.9 未満

MongoDB 8.3.0 以上 8.3.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8053	https://www.cve.org/CVERecord?id=CVE-2026-8053
National Vulnerability Database (NVD)
2	CVE-2026-8053	https://nvd.nist.gov/vuln/detail/CVE-2026-8053

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	名前	URL
JIRA
1	[SERVER-126021] Undefined behavior when inserting data with duplicate field names into timeseries collections - MongoDB Jira	https://jira.mongodb.org/browse/SERVER-126021

変更履歴

No	変更内容	変更日
1	[2026年05月20日] 掲載	2026年5月20日13:24

NVD脆弱性情報

CVE-2026-8053

概要	An issue in MongoDB Server's time-series collection implementation allows an authenticated user with database write privileges to trigger an out-of-bounds memory write in the mongod process. The issue results from an inconsistency in the internal field-name-to-index mapping within the time-series bucket catalog. Under certain conditions this can result in arbitrary code execution. This issue impacts MongoDB Server v5.0 versions prior to 5.0.33, v6.0 versions prior to 6.0.28, v7.0 versions prior to 7.0.34, v8.0 versions prior to 8.0.23, v8.2 versions prior to 8.2.9 and v8.3 versions prior to 8.3.2.
公表日	2026年5月13日13:17
登録日	2026年5月15日4:19
最終更新日	2026年5月18日22:06

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:mongodb:mongodb::::::::	5.0.0			5.0.33
cpe:2.3:a:mongodb:mongodb::::::::	6.0.0			6.0.28
cpe:2.3:a:mongodb:mongodb::::::::	7.0.0			7.0.34
cpe:2.3:a:mongodb:mongodb::::::::	8.0.0			8.0.23
cpe:2.3:a:mongodb:mongodb::::::::	8.2.0			8.2.9
cpe:2.3:a:mongodb:mongodb::::::::	8.3.0			8.3.2