CRITICALCVE-2026-34220CVSS 9.8

MikroORMは、特別に細工されたオブジェクトを介してSQLインジェクションに対して脆弱です

Q: CVE-2026-34220 とは何ですか？（node.js の SQL Injection）

6.6.10 および 7.0.6 より前のバージョンが CVE-2026-34220 に対して脆弱です。

Q: node.js の CVE-2026-34220 による影響を受けていますか？

使用している MikroORM のバージョンを確認してください。6.6.10 または 7.0.6 より古い場合は、アプリケーションが脆弱です。

Q: node.js の CVE-2026-34220 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、入力検証やパラメータ化されたクエリの使用など、追加のセキュリティ対策を実装してください。

Q: CVE-2026-34220 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、静的コード分析ツールは、潜在的に脆弱なコードパターンを特定するのに役立つ場合があります。

Q: CVE-2026-34220 に関する node.js の公式アドバイザリはどこで確認できますか？

SQL インジェクションは、攻撃者が SQL クエリに悪意のある SQL コードを挿入できる攻撃技術であり、データベースのセキュリティを損なう可能性があります。

プラットフォーム

nodejs

コンポーネント

node.js

修正版

6.6.11

7.0.1

6.6.11

7.0.7

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34220 は、@mikro-orm/core に存在する SQL インジェクションの脆弱性です。細工されたオブジェクトが SQL クエリフラグメントとして解釈され、SQL インジェクションを引き起こす可能性があります。影響を受けるバージョンは 6.6.9 および 7.0.5 以前です。この問題はバージョン 6.6.10 で修正されました。

影響と攻撃シナリオ

CVE-2026-34220 は、Node.js 用の TypeScript ORM である MikroORM に影響を与える SQL インジェクションの脆弱性です。この脆弱性は、特別に細工されたオブジェクトが適切な検証なしに生の SQL クエリフラグメントとして解釈される場合に発生します。これにより、攻撃者は MikroORM によって生成されたクエリに悪意のある SQL コードを注入し、保存されているデータの整合性と機密性を損なう可能性があります。CVSS スコアが 9.8 であることは、この脆弱性の重大さを強調し、修正を緊急に適用する必要があることを示しています。攻撃が成功すると、データの変更、削除、または不正アクセスにつながる可能性があります。

悪用の状況

この脆弱性は、MikroORM に悪意のあるオブジェクトを提供し、それらが SQL クエリの構築に使用されることによって悪用されます。攻撃者は、入力データを操作して、データベースコンテキスト内で実行される SQL コードを含めることができます。エクスプロイトの複雑さは、MikroORM が提供されたオブジェクトをどのように使用するかによって異なりますが、適切なセキュリティ対策が講じられていない場合、一般的にこの脆弱性は比較的簡単に悪用できます。リスクは、ユーザーが提供するデータや外部ソースからのデータなど、信頼できない入力データを処理するアプリケーションで高くなります。

リスク対象者翻訳中…

Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep -i mikroorm
  find / -name "node_modules/mikro-orm" -print

• nodejs / supply-chain:

  npm ls mikro-orm
  npm audit

• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.

攻撃タイムライン

2026-03-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnode.js

ベンダーmikro-orm

影響範囲修正版

< 6.6.10 – < 6.6.106.6.11

>= 7.0.0-rc.0, < 7.0.6 – >= 7.0.0-rc.0, < 7.0.67.0.1

6.6.106.6.11

7.0.0 – 7.0.67.0.7

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-03-26
公開日2026-03-31
更新日2026-04-03
EPSS 更新日2026-04-08

緩和策と回避策

CVE-2026-34220 の主な軽減策は、MikroORM をバージョン 6.6.10 以降、またはバージョン 7.0.6 にアップグレードすることです。これらのバージョンには、SQL クエリフラグメントを適切に検証およびサニタイズすることにより、SQL インジェクションの脆弱性を修正する修正が含まれています。さらに、アプリケーションコードを調べて、MikroORM の潜在的に脆弱な使用箇所を特定して修正します。パラメータ化されたクエリの使用やユーザー入力の検証など、安全なコーディングプラクティスを実装することで、将来の SQL インジェクションの脆弱性を防止できます。定期的なペネトレーションテストも、潜在的なセキュリティの弱点を特定して対処するために不可欠です。

修正方法翻訳中…

Actualice MikroORM a la versión 6.6.10 o superior, o a la versión 7.0.6 o superior, según corresponda. Esto corrige la vulnerabilidad de inyección SQL al interpretar objetos especialmente diseñados como fragmentos de consulta SQL sin procesar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34220 とは何ですか？（node.js の SQL Injection）