CVE-2026-44680 in MikroORMinformación

Resumen

por VulDB • 2026-05-27

MikroORM es un ORM de TypeScript para Node.js basado en los patrones Data Mapper, Unit of Work e Identity Map. Antes de las versiones @mikro-orm/knex 6.6.14 y @mikro-orm/sql 7.0.14, el auxiliar de comillas para identificadores de MikroORM (Platform.quoteIdentifier y las anulaciones de postgres/mssql) y sus emisores de rutas JSON (Platform.getSearchJsonPropertyKey, quoteJsonKey) no escapaban correctamente los caracteres que delimitan el contexto del identificador SQL o del literal de cadena en el que se emiten. Cuando el código de la aplicación pasa cadenas influenciadas por el atacante a las APIs públicas de ORM que esperan un identificador o un filtro de propiedad JSON, un atacante puede salirse del contexto entre comillas e inyectar SQL arbitrario. Esta vulnerabilidad se corrige en @mikro-orm/knex 6.6.14 y @mikro-orm/sql 7.0.14.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-07

Divulgación

2026-05-26

Moderación

aceptado

Artículo

VDB-365706

CPE

listo

EPSS

0.00783

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44680
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44680
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44680/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!