CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-34221

Critical
Published: Translated: NVD NIST

Summary

MikroORM, TypeScript ORM dla Node.js, zawierał podatność na zanieczyszczenie prototypu w funkcji Utils.merge przed wersjami 6.6.10 i 7.0.6. Funkcja ta nie blokowała specjalnych kluczy, co pozwalało na modyfikację prototypu obiektu JavaScript przez dane kontrolowane przez atakującego.

Risk Assessment

Zagrożenie to może prowadzić do nieautoryzowanych zmian w obiektach JavaScript, co może wpłynąć na bezpieczeństwo aplikacji oraz integralność danych. Atakujący mógłby wykorzystać tę podatność do wprowadzenia złośliwego kodu.

Recommendation

Zaleca się aktualizację MikroORM do wersji 6.6.10 lub 7.0.6, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu w celu identyfikacji potencjalnych miejsc, gdzie mogła być wykorzystana ta luka.

Original NVD description (English source)

MikroORM is a TypeScript ORM for Node.js based on Data Mapper, Unit of Work and Identity Map patterns. Prior to versions 6.6.10 and 7.0.6, a prototype pollution vulnerability exists in the Utils.merge helper used internally by MikroORM when merging object structures. The function did not prevent special keys such as __proto__, constructor, or prototype, allowing attacker-controlled input to modify the JavaScript object prototype when merged. This issue has been patched in versions 6.6.10 and 7.0.6.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS