製品・ソフトウェアに関する情報
脆弱性検索
MongoDB Inc.のMongoDBにおける到達可能なアサーションに関する脆弱性
タイトル MongoDB Inc.のMongoDBにおける到達可能なアサーションに関する脆弱性
概要

この問題は、キー範囲パーティショニングと順序保持配信で構成された内部の$exchangeステージを使用する集計パイプラインを実行する際に発生する可能性があります。単一のキー範囲が交換バッファを満たすのに十分なドキュメントを生成した場合(すなわち、多くの結果が同じコンシューマにルーティングされる場合)、サーバーはコンシューマごとのバッファが満杯であることを検出するコードパスに到達しますが、該当するキー範囲の内部「ハイウォーターマーク」が意図した通りに更新されません。

想定される影響 ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年6月9日0:00
登録日 2026年6月22日11:46
最終更新日 2026年6月22日11:46
CVSS3.0 : 警告
スコア 6.5
ベクター CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
影響を受けるシステム
MongoDB Inc.
MongoDB 7.0.0 以上 7.0.35 未満
MongoDB 8.0.0 以上 8.0.24 未満
MongoDB 8.2.0 以上 8.2.10 未満
MongoDB 8.3.0 以上 8.3.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年06月22日]
  掲載		 2026年6月22日11:46
NVD脆弱性情報
CVE-2026-9749
概要

This issue can occur when running an aggregation pipeline that uses the internal $exchange stage configured with key-range partitioning and order-preserving delivery. If a single key range produces enough documents to fill its exchange buffer (that is, many results are routed to the same consumer), the server reaches the code path where a full per-consumer buffer is detected but the internal "high watermark" for that key range is not updated as intended.

公表日 2026年6月10日8:17
登録日 2026年6月11日4:15
最終更新日 2026年6月11日4:43
関連情報、対策とツール
共通脆弱性一覧