平台
nodejs
组件
node.js
修复版本
6.6.11
7.0.1
6.6.11
7.0.7
CVE-2026-34220 描述了 @mikro-orm/core 中的一个 SQL 注入漏洞。当用户控制的输入传递给 MikroORM 查询构造 API 时,攻击者可以注入 SQL 代码。受影响的版本为 ≤ 6.6.9 和 ≤ 7.0.5。修复版本为 6.6.10,建议用户尽快升级。
CVE-2026-34220 影响 MikroORM,一个用于 Node.js 的 TypeScript ORM,代表着一个 SQL 注入漏洞。该漏洞源于特别构造的对象在没有适当验证的情况下被解释为原始 SQL 查询片段。这使得攻击者可以将恶意 SQL 代码注入到 MikroORM 生成的查询中,从而可能损害存储数据的完整性和保密性。CVSS 分数为 9.8,表明风险等级为严重,突出了漏洞的严重性以及立即应用修复的必要性。成功的利用可能导致数据修改、删除或未经授权的访问敏感数据。
该漏洞是通过向 MikroORM 提供恶意对象来利用的,这些对象随后用于构建 SQL 查询。攻击者可以操纵输入数据以包含在数据库上下文中执行的 SQL 代码。利用的复杂性取决于 MikroORM 如何使用提供的对象,但通常,如果未采取适当的安全措施,则该漏洞相对容易利用。在处理不受信任的输入数据(例如用户提供的数据或来自外部来源的数据)的应用程序中,风险更高。
Applications utilizing MikroORM versions 7.0.0 through 7.0.6 are at immediate risk. This includes Node.js projects that rely on MikroORM for database interaction, particularly those handling sensitive data or operating in environments with limited security controls. Developers who have recently upgraded to version 7.0.x should prioritize patching.
• nodejs / server:
ps aux | grep -i mikroorm
find / -name "node_modules/mikro-orm" -print• nodejs / supply-chain:
npm ls mikro-orm
npm audit• generic web: Inspect application logs for any unusual SQL query patterns or errors related to MikroORM. Monitor database logs for suspicious activity.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CVSS 向量
针对 CVE-2026-34220 的主要缓解措施是将 MikroORM 升级到 6.6.10 或更高版本,或 7.0.6 版本。这些版本包含一个修复程序,通过适当验证和清理 SQL 查询片段来解决 SQL 注入漏洞。此外,请审查您的应用程序代码,以识别和更正 MikroORM 的任何潜在漏洞使用。实施安全编码实践,例如使用参数化查询和验证用户输入,可以帮助防止未来的 SQL 注入漏洞。定期进行渗透测试对于识别和解决潜在的安全弱点至关重要。
Actualice MikroORM a la versión 6.6.10 o superior, o a la versión 7.0.6 o superior, según corresponda. Esto corrige la vulnerabilidad de inyección SQL al interpretar objetos especialmente diseñados como fragmentos de consulta SQL sin procesar.
漏洞分析和关键警报直接发送到您的邮箱。
6.6.10 之前的版本和 7.0.6 容易受到 CVE-2026-34220 的攻击。
检查您使用的 MikroORM 版本。如果版本早于 6.6.10 或 7.0.6,则您的应用程序容易受到攻击。
如果您无法立即升级,请实施额外的安全措施,例如输入验证和使用参数化查询。
目前没有专门用于检测此漏洞的工具,但静态代码分析工具可以帮助识别潜在的漏洞代码模式。
SQL 注入是一种攻击技术,允许攻击者将恶意 SQL 代码注入到 SQL 查询中,从而可能损害数据库的安全性。