प्लेटफ़ॉर्म
python
घटक
ormar
में ठीक किया गया
0.9.10
0.23.0
CVE-2026-26198 Ormar ORM में एक SQL Injection भेद्यता है। यह भेद्यता आक्रमणकारी को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या डेटाबेस में हेरफेर किया जा सकता है। यह भेद्यता Ormar ORM के संस्करणों ≤0.9.9 को प्रभावित करती है। Ormar ORM को संस्करण 0.23.0 में अपडेट करके इस समस्या का समाधान किया गया है।
Ormar ORM में यह SQL Injection भेद्यता गंभीर है क्योंकि यह आक्रमणकारी को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है। आक्रमणकारी डेटाबेस से संवेदनशील जानकारी, जैसे उपयोगकर्ता नाम, पासवर्ड, और अन्य गोपनीय डेटा निकाल सकते हैं। वे डेटाबेस में हेरफेर भी कर सकते हैं, डेटा को संशोधित या हटा सकते हैं, या नए डेटा को सम्मिलित कर सकते हैं। इस भेद्यता का उपयोग डेटाबेस सर्वर पर नियंत्रण हासिल करने के लिए भी किया जा सकता है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता अन्य SQL Injection भेद्यताओं के समान है, जहां असुरक्षित उपयोगकर्ता इनपुट को SQL क्वेरी में सीधे शामिल किया जाता है।
CVE-2026-26198 को सार्वजनिक रूप से 2026-02-23 को प्रकट किया गया था। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SQL Injection भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है या नहीं, यह जानकारी अभी उपलब्ध नहीं है।
Applications utilizing Ormar ORM for database interaction are at risk. This includes Python web applications, backend services, and any system where user-supplied data is directly incorporated into SQL queries without proper sanitization. Projects relying on older, unpatched versions of Ormar ORM are particularly vulnerable.
• python / server:
import sqlalchemy
from ormar import Model, ORM, Field, Integer, String
# Example vulnerable query
class MyModel(Model):
id = Field(Integer, primary_key=True)
name = Field(String)
engine = sqlalchemy.create_engine('sqlite:///:memory:')
ormar_orm = ORM(engine)
# Vulnerable code - user input directly into min() function
user_input = "' UNION SELECT 1, 2, 3 --"
query = MyModel.select().order_by(MyModel.id.min(user_input))
result = normar_orm.db.execute(query)
# This query is vulnerable to SQL injection• generic web: Inspect application logs for unusual SQL query patterns or errors related to aggregate functions. Look for queries containing unexpected characters or keywords that might indicate an injection attempt.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-26198 को कम करने के लिए, Ormar ORM को संस्करण 0.23.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो SQL Injection हमलों को ब्लॉक कर सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL क्वेरी में उपयोगकर्ता इनपुट को सुरक्षित करना महत्वपूर्ण है। Ormar ORM के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि सभी सुरक्षा सेटिंग्स सक्षम हैं। SQL Injection हमलों का पता लगाने के लिए अपने लॉग की नियमित रूप से निगरानी करें।
Ormar लाइब्रेरी को संस्करण 0.23.0 या उच्चतर में अपडेट करें। यह संस्करण `min()` और `max()` एग्रीगेट फ़ंक्शंस में SQL Injection भेद्यता को ठीक करता है। अपडेट अनधिकृत उपयोगकर्ताओं को संवेदनशील डेटाबेस जानकारी पढ़ने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26198 Ormar ORM में एक SQL Injection भेद्यता है जो आक्रमणकारी को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह असुरक्षित उपयोगकर्ता इनपुट के कारण होता है।
यदि आप Ormar ORM के संस्करण ≤0.9.9 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-26198 को ठीक करने के लिए, Ormar ORM को संस्करण 0.23.0 या बाद के संस्करण में अपडेट करें।
CVE-2026-26198 के सक्रिय शोषण का कोई सार्वजनिक रूप से ज्ञात प्रमाण नहीं है, लेकिन SQL Injection भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है।
Ormar ORM की आधिकारिक सलाह उनके GitHub रिपॉजिटरी में उपलब्ध है: [https://github.com/ormar/ormar](https://github.com/ormar/ormar)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।