CVE-2026-39356 in drizzle-ormالمعلومات

الملخص

بحسب VulDB • 30/05/2026

Drizzle هو إطار عمل ORM حديث مبني على TypeScript. قبل الإصدارين 0.45.2 و1.0.0-beta.20، كانت Drizzle ORM تفلت بشكل غير صحيح من المعرفات SQL المحاطة بعلامات الاقتباس في تطبيقاتها الخاصة بـ escapeName() المعتمدة على اللهجة (dialect). في الإصدارات المتأثرة، لم يتم فلترة فواصل المعرفات المضمنة قبل تغليف المعرف بعلامات اقتباس أو علامات اقتباس عكسية (backticks). ونتيجة لذلك، قد تسمح التطبيقات التي تمرر مدخلات خاضعة لسيطرة المهاجم إلى واجهات برمجة التطبيقات التي تقوم ببناء معرفات SQL أو أسماء مستعارة، مثل sql.identifier() و.as()، للمهاجم بإنهاء المعرف المحاط بعلامات الاقتباس وإدخال SQL. تم إصلاح هذا الثغرة الأمنية في الإصدارين 0.45.2 و1.0.0-beta.20.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/04/2026

إفشاء

07/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355937

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00017

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39356
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39356
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39356/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!