Platform
nodejs
Component
node.js
Opgelost in
6.6.11
7.0.1
6.6.11
7.0.7
CVE-2026-34220 betreft een SQL Injection kwetsbaarheid in @mikro-orm/core. Deze kwetsbaarheid, met een CVSS score van 9.5, maakt het mogelijk voor aanvallers om schadelijke SQL-code te injecteren. Dit kan leiden tot ongeautoriseerde toegang tot data. De kwetsbaarheid treft versies tot en met 7.0.5. De fix is beschikbaar in versie 6.6.10.
CVE-2026-34220 beïnvloedt MikroORM, een TypeScript ORM voor Node.js, en vertegenwoordigt een SQL-injectie kwetsbaarheid. De kwetsbaarheid ontstaat wanneer speciaal ontworpen objecten worden geïnterpreteerd als ruwe SQL query fragmenten zonder de juiste validatie. Dit stelt een aanvaller in staat om kwaadaardige SQL code in queries te injecteren die door MikroORM worden gegenereerd, waardoor mogelijk de integriteit en vertrouwelijkheid van opgeslagen gegevens in gevaar komt. De CVSS score van 9.8 duidt op een kritiek risico, wat de ernst van de kwetsbaarheid benadrukt en de dringende noodzaak om de correctie toe te passen. Een succesvolle exploitatie kan leiden tot wijziging, verwijdering of zelfs ongeautoriseerde toegang tot gevoelige gegevens.
De kwetsbaarheid wordt geëxploiteerd door kwaadaardige objecten aan MikroORM te verstrekken die vervolgens worden gebruikt bij het construeren van SQL query's. Een aanvaller kan invoergegevens manipuleren om SQL code te bevatten die binnen de database context wordt uitgevoerd. De complexiteit van de exploitatie hangt af van hoe MikroORM de verstrekte objecten gebruikt, maar over het algemeen is de kwetsbaarheid relatief gemakkelijk te exploiteren als de juiste beveiligingsmaatregelen niet worden genomen. Het risico is groter in applicaties die niet-vertrouwde invoergegevens verwerken, zoals gebruikersinvoer of gegevens uit externe bronnen.
Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.
• nodejs / server:
ps aux | grep -i mikroorm
find / -name "node_modules/mikro-orm" -print• nodejs / supply-chain:
npm ls mikro-orm
npm audit• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34220 is het upgraden van MikroORM naar versie 6.6.10 of hoger, of naar versie 7.0.6. Deze versies bevatten een correctie die de SQL-injectie kwetsbaarheid aanpakt door SQL query fragmenten correct te valideren en te sanitiseren. Controleer bovendien de code van uw applicatie om eventueel kwetsbaar gebruik van MikroORM te identificeren en te corrigeren. Het implementeren van veilige codeerpraktijken, zoals het gebruik van geparametriseerde queries en het valideren van gebruikersinvoer, kan helpen om toekomstige SQL-injectie kwetsbaarheden te voorkomen. Periodiek penetratietesten zijn ook cruciaal om potentiële beveiligingszwakheden te identificeren en aan te pakken.
Actualice MikroORM a la versión 6.6.10 o superior, o a la versión 7.0.6 o superior, según corresponda. Esto corrige la vulnerabilidad de inyección SQL al interpretar objetos especialmente diseñados como fragmentos de consulta SQL sin procesar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 6.6.10 en 7.0.6 zijn kwetsbaar voor CVE-2026-34220.
Controleer de versie van MikroORM die u gebruikt. Als deze ouder is dan 6.6.10 of 7.0.6, is uw applicatie kwetsbaar.
Als u niet onmiddellijk kunt upgraden, implementeer dan aanvullende beveiligingsmaatregelen, zoals invoervalidatie en het gebruik van geparametriseerde query's.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar statische code analyse tools kunnen helpen bij het identificeren van potentieel kwetsbare code patronen.
SQL-injectie is een aanvalstechniek waarmee een aanvaller kwaadaardige SQL-code in een SQL-query kan injecteren, waardoor mogelijk de beveiliging van de database wordt gecompromitteerd.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.