Plateforme
nodejs
Composant
node.js
Corrigé dans
6.6.11
7.0.1
6.6.11
7.0.7
La vulnérabilité CVE-2026-34220 est une faille d'injection SQL dans MikroORM. Elle survient lorsque des objets spécialement conçus sont interprétés comme des fragments de requête SQL bruts. Les versions affectées sont <= 6.6.9 et <= 7.0.5. L'impact dépend de la base de données et de la requête exécutée. Le correctif est disponible dans la version 6.6.10.
La vulnérabilité CVE-2026-34220 affecte MikroORM, un ORM TypeScript pour Node.js, et représente une vulnérabilité d'injection SQL. Cette vulnérabilité survient lorsque des objets spécialement conçus sont interprétés comme des fragments de requête SQL sans validation appropriée. Cela permet à un attaquant d'injecter du code SQL malveillant dans les requêtes générées par MikroORM, compromettant potentiellement l'intégrité et la confidentialité des données stockées dans la base de données. Le score CVSS de 9.8 indique un risque critique, soulignant la gravité de la vulnérabilité et la nécessité urgente d'appliquer la correction. Une exploitation réussie pourrait entraîner la modification, la suppression ou même un accès non autorisé à des données sensibles.
La vulnérabilité est exploitée en fournissant des objets malveillants à MikroORM qui sont ensuite utilisés pour construire des requêtes SQL. Un attaquant pourrait manipuler les données d'entrée pour inclure du code SQL qui s'exécute dans le contexte de la base de données. La complexité de l'exploitation dépend de la manière dont MikroORM utilise les objets fournis, mais en général, la vulnérabilité est relativement facile à exploiter si les mesures de sécurité appropriées ne sont pas prises. Le risque est plus élevé dans les applications qui traitent des données d'entrée non fiables, telles que les données fournies par les utilisateurs ou provenant de sources externes.
Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.
• nodejs / server:
ps aux | grep -i mikroorm
find / -name "node_modules/mikro-orm" -print• nodejs / supply-chain:
npm ls mikro-orm
npm audit• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
L'atténuation principale pour CVE-2026-34220 est de mettre à niveau MikroORM vers la version 6.6.10 ou supérieure, ou vers la version 7.0.6. Ces versions incluent une correction qui résout la vulnérabilité d'injection SQL en validant et en désinfectant correctement les fragments de requête SQL. De plus, examinez le code de votre application pour identifier et corriger tout usage potentiellement vulnérable de MikroORM. La mise en œuvre de pratiques de codage sécurisées, telles que l'utilisation de requêtes paramétrées et la validation des entrées utilisateur, peut aider à prévenir de futures vulnérabilités d'injection SQL. Des tests d'intrusion périodiques sont également essentiels pour identifier et traiter les faiblesses de sécurité potentielles.
Actualice MikroORM a la versión 6.6.10 o superior, o a la versión 7.0.6 o superior, según corresponda. Esto corrige la vulnerabilidad de inyección SQL al interpretar objetos especialmente diseñados como fragmentos de consulta SQL sin procesar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions antérieures à 6.6.10 et 7.0.6 sont vulnérables à CVE-2026-34220.
Vérifiez la version de MikroORM que vous utilisez. Si elle est antérieure à 6.6.10 ou 7.0.6, votre application est vulnérable.
Si vous ne pouvez pas mettre à niveau immédiatement, mettez en œuvre des mesures de sécurité supplémentaires, telles que la validation des entrées et l'utilisation de requêtes paramétrées.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais les outils d'analyse de code statique peuvent aider à identifier des modèles de code potentiellement vulnérables.
L'injection SQL est une technique d'attaque qui permet à un attaquant d'insérer du code SQL malveillant dans une requête SQL, compromettant potentiellement la sécurité de la base de données.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.