CVE-2026-8199MongoDB Server存在安全漏洞,认证用户可通过$bitsAllSet等位运算匹配表达式的AST处理过程,导致过量内存消耗。这可能引发内存压力并最终导致OOM(内存溢出),从而造成服务拒绝,影响系统可用性。受影响版本包括v7.0、v8.0、v8.2和v8.3的特定早期版本。
该漏洞主要源于MongoDB Server在解析和执行包含特定位运算操作符的查询表达式时,其抽象语法树(AST)处理机制存在资源管理缺陷。具体涉及的操作符包括$bitsAllSet、$bitsAnySet、$bitsAllClear以及$bitsAnyClear。当已认证的低权限用户发送包含复杂或特定构造的位运算匹配条件的查询时,服务器在处理AST节点时会触发非预期的内存分配行为,导致内存占用急剧上升。由于缺乏足够的资源限制或边界检查,这种过量消耗会迅速造成系统内存压力,最终导致服务端进程因内存溢出(OOM)而崩溃或无响应。攻击者可通过网络远程利用此漏洞,无需目标用户交互,仅需低权限即可发起攻击,严重威胁服务的可用性。