CVE-2026-44680 in MikroORM
요약
\~에 의해 VulDB • 2026. 05. 26.
MikroORM은 Data Mapper, Unit of Work 및 Identity Map 패턴을 기반으로 하는 Node.js용 TypeScript ORM입니다. @mikro-orm/knex 6.6.14 및 @mikro-orm/sql 7.0.14 이전 버전에서 MikroORM의 식별자 따옴표 처리 헬퍼(Platform.quoteIdentifier 및 postgres/mssql 오버라이드)와 JSON 경로 생성기(Platform.getSearchJsonPropertyKey, quoteJsonKey)는 생성되는 SQL 식별자 또는 문자열 리터럴 컨텍스트를 구분하는 문자를 적절히 이스케이프하지 않았습니다. 애플리케이션 코드가 식별자 또는 JSON 속성 필터를 기대하는 공개 ORM API에 공격자가 조작한 문자열을 전달하면, 공격자가 따옴표 컨텍스트를 벗어나 임의의 SQL을 주입할 수 있습니다. 이 취약점은 @mikro-orm/knex 6.6.14 및 @mikro-orm/sql 7.0.14에서 해결되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.