ormar は、aggregate 関数 min() および max() を介した SQL Injection の脆弱性を持っています

このSQLインジェクション脆弱性を悪用されると、攻撃者はデータベースの内容を閲覧、変更、削除することが可能になります。機密情報（ユーザー認証情報、個人情報など）の漏洩、データの改ざん、さらにはデータベースサーバーの制御取得といった深刻な被害が発生する可能性があります。Ormar ORMは、ORMライブラリとして様々なアプリケーションで使用されているため、この脆弱性の影響範囲は広範に及ぶ可能性があります。類似の脆弱性は、SQLAlchemyなどの他のORMライブラリでも報告されており、入力値の検証とサニタイズの重要性を示唆しています。

Applications utilizing Ormar ORM for database interaction are at risk. This includes Python web applications, backend services, and any system where user-supplied data is directly incorporated into SQL queries without proper sanitization. Projects relying on older, unpatched versions of Ormar ORM are particularly vulnerable.

• python / server:

import sqlalchemy
from ormar import Model, ORM, Field, Integer, String

# Example vulnerable query
class MyModel(Model):
    id = Field(Integer, primary_key=True)
    name = Field(String)

engine = sqlalchemy.create_engine('sqlite:///:memory:')
ormar_orm = ORM(engine)

# Vulnerable code - user input directly into min() function
user_input = "' UNION SELECT 1, 2, 3 --"
query = MyModel.select().order_by(MyModel.id.min(user_input))
result = normar_orm.db.execute(query)

# This query is vulnerable to SQL injection

• generic web: Inspect application logs for unusual SQL query patterns or errors related to aggregate functions. Look for queries containing unexpected characters or keywords that might indicate an injection attempt.

1. 2026-02-23Disclosure

   disclosure

1. 予約済み2026-02-11
2. 公開日2026-02-23
3. 更新日2026-02-24
4. EPSS 更新日2026-03-23

この脆弱性への対応として、Ormar ORMをバージョン0.23.0以降にアップデートすることを推奨します。アップデートが困難な場合は、入力値の検証とサニタイズを厳格に行うことで、SQLインジェクション攻撃のリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃のパターンを検知・防御することも有効です。また、データベースのアクセス権限を最小限に抑え、不要な権限を与えないように設定することも重要です。アップデート後、データベースへのアクセスログを監視し、不正なアクセスがないか確認してください。