Multiple critical vulnerabilities in MongoDB, including remote code execution flaws, affect a wide range of versions from 5.0.x prior to 5.0.33 through 8.3.x prior to 8.3.2. The article references several CVEs, including CVE-2026-33186 in gRPC (CVSS 9.1 Critical) and CVE-2026-2332 in Eclipse Jetty (CVSS 7.4 High), but does not provide specific CVSS scores or fixed versions for MongoDB itself. Administrators must consult the linked MongoDB security bulletins for specific patching instructions to upgrade affected deployments.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 13 mai 2026 N° CERTFR-2026-AVI-0581 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans MongoDB Gestion du document Référence CERTFR-2026-AVI-0581 Titre Multiples vulnérabilités dans MongoDB Date de la première version 13 mai 2026 Date de la dernière version 13 mai 2026 Source(s) Bulletin de sécurité MongoDB #onprem-server-8.0.23 du 12 mai 2026 Bulletin de sécurité MongoDB SERVER-126021 du 12 mai 2026 Bulletin de sécurité MongoDB SERVER-120668 du 13 mai 2026 Bulletin de sécurité MongoDB SERVER-122032 du 13 mai 2026 Bulletin de sécurité MongoDB SERVER-122449 du 13 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Exécution de code arbitraire à distance Non spécifié par l'éditeur Systèmes affectés MongoDB versions 5.0.x antérieures à 5.0.33 MongoDB versions 6.0.x antérieures à 6.0.28 MongoDB versions 7.0.x antérieures à 7.0.35 MongoDB versions 8.0.x antérieures à 8.0.24 MongoDB versions 8.2.x antérieures à 8.2.10 MongoDB versions 8.3.x antérieures à 8.3.2 Résumé De multiples vulnérabilités ont été découvertes dans MongoDB. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un problème de sécurité non spécifié par l'éditeur. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité MongoDB #onprem-server-8.0.23 du 12 mai 2026 https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-8.0.23 Bulletin de sécurité MongoDB SERVER-126021 du 12 mai 2026 https://jira.mongodb.org/browse/SERVER-126021 Bulletin de sécurité MongoDB SERVER-120668 du 13 mai 2026 https://jira.mongodb.org/browse/SERVER-120668 Bulletin de sécurité MongoDB SERVER-122032 du 13 mai 2026 https://jira.mongodb.org/browse/SERVER-122032 Bulletin de sécurité MongoDB SERVER-122449 du 13 mai 2026 https://jira.mongodb.org/browse/SERVER-122449 Référence CVE CVE-2025-50537 https://www.cve.org/CVERecord?id=CVE-2025-50537 Référence CVE CVE-2026-2332 https://www.cve.org/CVERecord?id=CVE-2026-2332 Référence CVE CVE-2026-33186 https://www.cve.org/CVERecord?id=CVE-2026-33186 Référence CVE CVE-2026-33870 https://www.cve.org/CVERecord?id=CVE-2026-33870 Référence CVE CVE-2026-33871 https://www.cve.org/CVERecord?id=CVE-2026-33871 Référence CVE CVE-2026-33891 https://www.cve.org/CVERecord?id=CVE-2026-33891 Référence CVE CVE-2026-33894 https://www.cve.org/CVERecord?id=CVE-2026-33894 Référence CVE CVE-2026-33895 https://www.cve.org/CVERecord?id=CVE-2026-33895 Référence CVE CVE-2026-33896 https://www.cve.org/CVERecord?id=CVE-2026-33896 Référence CVE CVE-2026-33916 https://www.cve.org/CVERecord?id=CVE-2026-33916 Référence CVE CVE-2026-33937 https://www.cve.org/CVERecord?id=CVE-2026-33937 Référence CVE CVE-2026-33938 https://www.cve.org/CVERecord?id=CVE-2026-33938 Référence CVE CVE-2026-33939 https://www.cve.org/CVERecord?id=CVE-2026-33939 Référence CVE CVE-2026-33940 https://www.cve.org/CVERecord?id=CVE-2026-33940 Référence CVE CVE-2026-33941 https://www.cve.org/CVERecord?id=CVE-2026-33941 Référence CVE CVE-2026-4867 https://www.cve.org/CVERecord?id=CVE-2026-4867 Référence CVE CVE-2026-8053 https://www.cve.org/CVERecord?id=CVE-2026-8053 Gestion détaillée du document le 13 mai 2026 Version initiale