Plataforma
nodejs
Componente
node.js
Corrigido em
6.6.11
7.0.1
6.6.11
7.0.7
CVE-2026-34220 é uma vulnerabilidade de SQL Injection que afeta o MikroORM, um ORM TypeScript para Node.js. A falha ocorre quando objetos especialmente criados são interpretados como fragmentos de consulta SQL raw, permitindo a injeção de código SQL malicioso. As versões afetadas são 7.0.0 até 7.0.6. A vulnerabilidade foi corrigida nas versões 6.6.10 e 7.0.6.
A vulnerabilidade CVE-2026-34220 afeta o MikroORM, um ORM TypeScript para Node.js, representando uma vulnerabilidade de injeção SQL. A vulnerabilidade ocorre quando objetos especialmente elaborados são interpretados como fragmentos de consulta SQL sem a validação adequada. Isso permite que um atacante injete código SQL malicioso em consultas geradas pelo MikroORM, comprometendo potencialmente a integridade e a confidencialidade dos dados armazenados no banco de dados. A pontuação CVSS de 9.8 indica um risco crítico, destacando a gravidade da vulnerabilidade e a necessidade urgente de aplicar a correção. A exploração bem-sucedida pode resultar na modificação, exclusão ou até mesmo no acesso não autorizado a dados confidenciais.
A vulnerabilidade é explorada fornecendo objetos maliciosos ao MikroORM que são subsequentemente usados na construção de consultas SQL. Um atacante pode manipular os dados de entrada para incluir código SQL que seja executado no contexto do banco de dados. A complexidade da exploração depende de como o MikroORM utiliza os objetos fornecidos, mas, em geral, a vulnerabilidade é relativamente fácil de explorar se as medidas de segurança apropriadas não forem tomadas. O risco é maior em aplicações que processam dados de entrada não confiáveis, como dados fornecidos por usuários ou de fontes externas.
Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.
• nodejs / server:
ps aux | grep -i mikroorm
find / -name "node_modules/mikro-orm" -print• nodejs / supply-chain:
npm ls mikro-orm
npm audit• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A principal mitigação para CVE-2026-34220 é atualizar o MikroORM para a versão 6.6.10 ou superior, ou para a versão 7.0.6. Essas versões incluem uma correção que aborda a vulnerabilidade de injeção SQL, validando e higienizando adequadamente os fragmentos de consulta SQL. Além disso, revise o código da sua aplicação para identificar e corrigir qualquer uso potencialmente vulnerável do MikroORM. Implementar práticas de codificação segura, como o uso de consultas parametrizadas e a validação de entrada do usuário, pode ajudar a prevenir futuras vulnerabilidades de injeção SQL. Testes de penetração periódicos também são cruciais para identificar e abordar possíveis fraquezas de segurança.
Actualice MikroORM a la versión 6.6.10 o superior, o a la versión 7.0.6 o superior, según corresponda. Esto corrige la vulnerabilidad de inyección SQL al interpretar objetos especialmente diseñados como fragmentos de consulta SQL sin procesar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versões anteriores a 6.6.10 e 7.0.6 são vulneráveis a CVE-2026-34220.
Verifique a versão do MikroORM que você está usando. Se for anterior a 6.6.10 ou 7.0.6, sua aplicação é vulnerável.
Se não puder atualizar imediatamente, implemente medidas de segurança adicionais, como validação de entrada e o uso de consultas parametrizadas.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas ferramentas de análise de código estático podem ajudar a identificar padrões de código potencialmente vulneráveis.
A injeção SQL é uma técnica de ataque que permite que um atacante insira código SQL malicioso em uma consulta SQL, comprometendo potencialmente a segurança do banco de dados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.