CVE-2026-44680 in MikroORMالمعلومات

الملخص

بحسب VulDB • 26/05/2026

MikroORM هو إطار عمل ORM (Object-Relational Mapping) مبني بلغة TypeScript لنظام Node.js، ويعتمد على أنماط Data Mapper، وUnit of Work، وIdentity Map. قبل الإصدارين @mikro-orm/knex 6.6.14 و @mikro-orm/sql 7.0.14، لم تقم أدوات المساعدة الخاصة بوضع علامات الاقتباس حول المعرّفات في MikroORM (مثل Platform.quoteIdentifier والتجاوزات الخاصة بـ postgres/mssql) ومولدات مسارات JSON (مثل Platform.getSearchJsonPropertyKey وquoteJsonKey) بالتهرب بشكل صحيح من الأحرف التي تفصل بين سياق معرّف SQL أو سياق حرف السلسلة (string-literal) الذي يتم إصداره فيه. عندما تمرر رموز التطبيق النصوص المتأثرة بالهاكر إلى واجهات برمجة التطبيقات العامة (public APIs) في ORM والتي تتوقع معرّفاً أو فلترًا لخاصية JSON، يمكن للمهاجم الخروج من سياق الاقتباس الحقن SQL تعسفي. تم إصلاح هذا الثغرة الأمنية في الإصدارين @mikro-orm/knex 6.6.14 و @mikro-orm/sql 7.0.14.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/05/2026

إفشاء

26/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365706

CPE

جاهز

CWE

CWE-89 (مؤكد)

استغلال

تحميل

CVSS

7.6 (CNA)

EPSS

0.00783

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44680
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44680
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44680/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!