प्लेटफ़ॉर्म
nodejs
घटक
node.js
में ठीक किया गया
6.6.11
7.0.1
6.6.11
7.0.7
CVE-2026-34220 MikroORM में एक SQL इंजेक्शन भेद्यता है, जहां विशेष रूप से तैयार किए गए ऑब्जेक्ट्स को रॉ SQL क्वेरी फ़्रैग्मेंट्स के रूप में व्याख्या किया जाता है। यह भेद्यता संस्करण 6.6.0–>= 7.0.0-rc.0, < 7.0.6 को प्रभावित करती है और संस्करण 7.0.6 में ठीक की गई है।
CVE-2026-34220 MikroORM को प्रभावित करता है, जो Node.js के लिए एक TypeScript ORM है, और यह एक SQL इंजेक्शन भेद्यता का प्रतिनिधित्व करता है। यह भेद्यता तब उत्पन्न होती है जब विशेष रूप से तैयार की गई वस्तुओं को उचित सत्यापन के बिना कच्चे SQL क्वेरी खंडों के रूप में व्याख्यायित किया जाता है। यह एक हमलावर को MikroORM द्वारा उत्पन्न क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है, जिससे संग्रहीत डेटा की अखंडता और गोपनीयता से समझौता हो सकता है। CVSS स्कोर 9.8 होने का संकेत है कि जोखिम गंभीर है, जो भेद्यता की गंभीरता पर प्रकाश डालता है और सुधार को तुरंत लागू करने की आवश्यकता को उजागर करता है। सफल शोषण के परिणामस्वरूप संशोधन, विलोपन या संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है।
यह भेद्यता MikroORM को दुर्भावनापूर्ण वस्तुओं को प्रदान करके शोषण किया जाता है जिनका उपयोग बाद में SQL क्वेरी बनाने के लिए किया जाता है। एक हमलावर इनपुट डेटा में हेरफेर कर सकता है ताकि SQL कोड शामिल हो जो डेटाबेस संदर्भ के भीतर निष्पादित होता है। शोषण की जटिलता इस बात पर निर्भर करती है कि MikroORM प्रदान की गई वस्तुओं का उपयोग कैसे करता है, लेकिन सामान्य तौर पर, यदि उचित सुरक्षा उपाय नहीं किए गए हैं तो यह भेद्यता अपेक्षाकृत आसान है। उन अनुप्रयोगों में जोखिम अधिक होता है जो अविश्वसनीय इनपुट डेटा को संसाधित करते हैं, जैसे कि उपयोगकर्ता द्वारा प्रदान किया गया डेटा या बाहरी स्रोतों से डेटा।
Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.
• nodejs / server:
ps aux | grep -i mikroorm
find / -name "node_modules/mikro-orm" -print• nodejs / supply-chain:
npm ls mikro-orm
npm audit• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CVSS वेक्टर
CVE-2026-34220 के लिए प्राथमिक शमन MikroORM को संस्करण 6.6.10 या उच्चतर, या संस्करण 7.0.6 में अपग्रेड करना है। इन संस्करणों में एक सुधार शामिल है जो SQL क्वेरी खंडों को उचित रूप से मान्य और सैनिटाइज करके SQL इंजेक्शन भेद्यता को संबोधित करता है। इसके अतिरिक्त, अपने एप्लिकेशन कोड की समीक्षा करें ताकि MikroORM के किसी भी संभावित रूप से कमजोर उपयोग की पहचान और सुधार किया जा सके। सुरक्षित कोडिंग प्रथाओं को लागू करना, जैसे कि पैरामीटराइज़्ड क्वेरी का उपयोग करना और उपयोगकर्ता इनपुट को मान्य करना, भविष्य की SQL इंजेक्शन भेद्यताओं को रोकने में मदद कर सकता है। संभावित सुरक्षा कमजोरियों की पहचान करने और उन्हें संबोधित करने के लिए आवधिक प्रवेश परीक्षण भी महत्वपूर्ण है।
MikroORM को संस्करण 6.6.10 या उच्चतर, या संस्करण 7.0.6 या उच्चतर में अपडेट करें। यह SQL इंजेक्शन (SQL Injection) भेद्यता को ठीक करता है जो विशेष रूप से डिज़ाइन किए गए ऑब्जेक्ट्स (Objects) के माध्यम से अनधिकृत SQL क्वेरी (Query) के निष्पादन की अनुमति देता है। अपडेट (Update) इस भेद्यता के शोषण को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
6.6.10 और 7.0.6 से पहले के संस्करण CVE-2026-34220 के प्रति संवेदनशील हैं।
आप जिस MikroORM संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 6.6.10 या 7.0.6 से पुराना है, तो आपका एप्लिकेशन कमजोर है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अतिरिक्त सुरक्षा उपाय लागू करें, जैसे कि इनपुट सत्यापन और पैरामीटराइज़्ड क्वेरी का उपयोग करना।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन स्थिर कोड विश्लेषण उपकरण संभावित रूप से कमजोर कोड पैटर्न की पहचान करने में मदद कर सकते हैं।
SQL इंजेक्शन एक हमला तकनीक है जो एक हमलावर को SQL क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से डेटाबेस की सुरक्षा से समझौता हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।