Platform
python
Component
ormar
Opgelost in
0.9.10
0.23.0
CVE-2026-26198 beschrijft een kritieke SQL Injection kwetsbaarheid in Ormar ORM, een Python Object-Relational Mapper (ORM). Deze kwetsbaarheid stelt aanvallers in staat om SQL-code te injecteren door geconstrueerde strings door te geven aan de min() of max() aggregate functies. De kwetsbaarheid treft versies van Ormar ORM tot en met 0.9.9, en een patch is beschikbaar in versie 0.23.0.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan verstrekkende gevolgen hebben. Aanvallers kunnen gevoelige data uit de database extraheren, zoals gebruikersnamen, wachtwoorden, financiële gegevens en andere vertrouwelijke informatie. Bovendien kunnen ze de database manipuleren, data wijzigen of verwijderen, en zelfs de controle over de applicatie overnemen. De kwetsbaarheid ontstaat doordat Ormar ORM gebruikersinvoer direct in SQL-expressies plaatst zonder adequate validatie of sanitatie. Dit maakt het mogelijk om kwaadaardige SQL-code in te voegen en uit te voeren.
Deze kwetsbaarheid is openbaar bekend en heeft een CRITICAL CVSS score. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de ernst van de kwetsbaarheid maakt actieve exploitatie waarschijnlijk. De kwetsbaarheid is gepubliceerd op 2026-02-23. De kans op exploitatie wordt als hoog ingeschat, gezien de eenvoud van de exploitatie en de potentieel verstrekkende impact.
Applications utilizing Ormar ORM for database interaction are at risk. This includes Python web applications, backend services, and any system where user-supplied data is directly incorporated into SQL queries without proper sanitization. Projects relying on older, unpatched versions of Ormar ORM are particularly vulnerable.
• python / server:
import sqlalchemy
from ormar import Model, ORM, Field, Integer, String
# Example vulnerable query
class MyModel(Model):
id = Field(Integer, primary_key=True)
name = Field(String)
engine = sqlalchemy.create_engine('sqlite:///:memory:')
ormar_orm = ORM(engine)
# Vulnerable code - user input directly into min() function
user_input = "' UNION SELECT 1, 2, 3 --"
query = MyModel.select().order_by(MyModel.id.min(user_input))
result = normar_orm.db.execute(query)
# This query is vulnerable to SQL injection• generic web: Inspect application logs for unusual SQL query patterns or errors related to aggregate functions. Look for queries containing unexpected characters or keywords that might indicate an injection attempt.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Ormar ORM versie 0.23.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan om inputvalidatie toe te voegen aan de code die de min() en max() functies gebruikt. Dit kan door te controleren of de gebruikersinvoer numeriek is en/of een whitelist van toegestane kolomnamen te gebruiken. Het implementeren van Web Application Firewall (WAF) regels die SQL Injection pogingen detecteren en blokkeren kan ook helpen. Controleer de Ormar ORM documentatie voor specifieke configuratie-instructies en best practices.
Werk de Ormar bibliotheek bij naar versie 0.23.0 of hoger. Deze versie corrigeert de SQL Injection kwetsbaarheid in de aggregate functies min() en max(). De update voorkomt dat ongeautoriseerde gebruikers gevoelige informatie uit de database kunnen lezen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-26198 is a critical SQL Injection vulnerability affecting Ormar ORM versions up to 0.9.9. It allows attackers to inject malicious SQL code through crafted strings in aggregate functions, potentially leading to data breaches.
You are affected if you are using Ormar ORM versions 0.9.9 or earlier. Upgrade to version 0.23.0 or later to resolve the vulnerability.
The recommended fix is to upgrade Ormar ORM to version 0.23.0 or later. As a temporary workaround, implement strict input validation and sanitization on all user-supplied data used in SQL queries.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation if a proof-of-concept is released.
Refer to the Ormar project's official repository and release notes for the advisory and details on the fix: [https://github.com/Ormar/ormar](https://github.com/Ormar/ormar)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.