MongoDB plakt meerdere beveiligingslekken in MongoDB Server dicht. Het gaat om kwetsbaarheden in verschillende onderdelen, met twee problemen die er duidelijk uitspringen: het onbedoeld loggen van inloggegevens tijdens SASL-authenticatie en een crash in de BSON-validatie die tot een denial‑of‑service kan leiden. Beide issues zijn in juni 2026 gedocumenteerd en krijgen updates in de 7.0-, 8.0-, 8.2- en 8.3‑reeksen. (nvd.nist.gov)

Wat speelt er precies bij SASL-logging?

• In bepaalde situaties kan de server tijdens een SASL-authenticatiesessie volledige authenticatieparameters, inclusief gevoelige credentials, weggeschreven hebben naar de serverlogs. Dit gebeurt wanneer zogeheten connection health metric logging is ingeschakeld. Gevolg: wie toegang heeft tot die logs, kan mogelijk accounts misbruiken. Dit lek is vastgelegd als CVE‑2026‑9735 en raakt MongoDB Server 8.3.0 t/m 8.3.2; de fix zit in 8.3.3. Advies: update naar minimaal 8.3.3 en controleer je logconfiguratie en -toegang. (nvd.nist.gov)

En die crash in de BSON‑validatie?

• Door een fout in de validatielogica kan een aanvaller met een speciaal opgebouwd bericht het mongod‑proces laten crashen, zonder dat er eerst ingelogd hoeft te worden. In de kern ontstaat ongecontroleerde wederzijdse recursie bij het valideren van diep geneste binaire data. Dit resulteert in stackuitputting en daarmee een directe DoS. Vastgelegd als CVE‑2026‑9740, met fixes in 7.0.35, 8.0.24, 8.2.10 en 8.3.3. Omdat authenticatie niet vereist is, heeft dit issue een hoge ernstscore. (nvd.nist.gov)

Technische noot

• De dieptebewaking in de validator kan bij wederzijdse recursie telkens opnieuw starten, waardoor een voldoende diep genest inputbericht de threadstack uitput voordat grenzen ingrijpen. Dit mechanisme is publiekelijk toegelicht door downstream‑leverancier Percona en sluit aan bij de omschrijving in de NVD‑registratie. (percona.com)

Waarom dit nu belangrijk is

• MongoDB‑omgevingen zijn een populair doelwit. In 2025 werd bijvoorbeeld “MongoBleed” (CVE‑2025‑14847) breed misbruikt; die kwetsbaarheid kwam zelfs in de KEV‑lijst van CISA terecht. De les: exposed databases zonder strikte netwerkbeperkingen of actuele patches lopen aanzienlijk risico. (cyber.gc.ca)

Wat je nu doet (korte checklist)

• Update gericht:
  • Voor CVE‑2026‑9735: upgrade naar 8.3.3 of hoger. (nvd.nist.gov)
  • Voor CVE‑2026‑9740: upgrade naar 7.0.35, 8.0.24, 8.2.10 of 8.3.3 (afhankelijk van je hoofdversie). (nvd.nist.gov)
• Beperk aanvalsvlak:
  • Zorg dat mongod/mongos alleen bereikbaar is vanaf vertrouwde segmenten of via een reverse proxy/VPN. Een netwerkpad naar de poort is bij CVE‑2026‑9740 al genoeg voor DoS. (nvd.nist.gov)
• Loghygiëne:
  • Controleer of connection health metric logging staat ingeschakeld; draai dit waar nodig terug, versleutel/afscherm logbestanden en roteer ze versneld. Scan bestaande logs op mogelijk uitgelekte credentials en voer wachtwoord‑resets/secret‑rotatie door. (nvd.nist.gov)
• Harden SASL‑opzet:
  • Gebruik sterke, unieke accounts/roles en minimaal benodigde rechten. Wie SASL gebruikt (bijv. via LDAP/Active Directory), volgt de vendor‑richtlijnen voor configuratie en socket‑toegang. (mongodb.com)
• Monitoring en detectie:
  • Houd toezicht op onverwachte restarts en pieken in verbindingen/verkeerspatronen richting MongoDB‑poorten; herhaalde crashes kunnen op actieve DoS‑pogingen wijzen. (In lijn met de publiek gedocumenteerde DoS‑eigenschappen van CVE‑2026‑9740.) (nvd.nist.gov)

Versies en tijdlijn

• De twee CVE’s zijn gepubliceerd op 9 juni 2026; NVD‑items zijn op 17 juni 2026 bijgewerkt met fixversies en scope per releasespoor. Dat betekent dat organisaties per direct patches beschikbaar hebben binnen 7.0.35, 8.0.24, 8.2.10 en 8.3.3, terwijl 8.3.3 ook het SASL‑loglek adresseert. Plan je onderhoudsvenster dus op korte termijn. (nvd.nist.gov)

Samengevat: update snel, beperk netwerktoegang tot je databases, en behandel logbestanden als gevoelige data. Daarmee mitigeer je het risico van credential‑exposure via logs én voorkom je dat een externe partij je mongod met één berichtje kan platleggen. (nvd.nist.gov)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.