CVE-2026-9741
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
Błąd w przetwarzaniu analizy zapytań w etapie agregacji $vectorSearch dla Szyfrowania Zapytania (QE) lub Szyfrowania Poziomu Pola po Stronie Klienta (CSFLE) powoduje, że dosłowne wartości dla zaszyfrowanych pól w wyrażeniach filtrów etapu $vectorSearch są wysyłane do serwera jako tekst jawny zamiast jako szyfrogram.
Ocena ryzyka
Organizacja może być narażona na ujawnienie wrażliwych danych, ponieważ zaszyfrowane pola są przesyłane w postaci niezaszyfrowanej. To może prowadzić do naruszenia prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację systemu do najnowszej wersji, aby naprawić ten błąd oraz przetestowanie aplikacji w celu zapewnienia, że wrażliwe dane są odpowiednio szyfrowane przed wysłaniem do serwera.
Oryginalny opis (angielski, źródło NVD)
A bug in query analysis processing of the $vectorSearch aggregation stage for Queryable Encryption (QE) or Client-Side Field Level Encryption (CSFLE) results in literal values for encrypted fields within the $vectorSearch stage filter expressions to be sent to the server as plaintext instead of ciphertext.

