概要
Node.js 向け TypeScript ORM MikroORM に SQL インジェクション 脆弱性 が 存在 します。特別 に 細工 された オブジェクト が 生 の SQL クエリ フラグメント として 解釈 される こと で、攻撃者 は 任意 の SQL コマンド を 実行 できる 可能性 が あります。
MikroORM は Data Mapper / Unit of Work / Identity Map パターン に 基づく ORM で、Node.js バックエンド で 広く 利用 されて います。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-89(SQLインジェクション) |
影響 を 受ける ソフトウェア
| 製品 | 影響 条件 | 修正 バージョン |
|---|---|---|
| MikroORM 6.x | 6.6.10 未満 | v6.6.10 |
| MikroORM 7.x | 7.0.6 未満 | v7.0.6 |
修正 バージョン と 回避策
- MikroORM v6.6.10 または v7.0.6 以降 へ アップデート して ください
- アップデート まで の 間、ユーザー 入力 を ORM に 渡す 前 に 入力 バリデーション を 強化 する こと を 推奨 します
関連 リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。