Katalog CVE

CVE-2026-34221

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

MikroORM, TypeScript ORM dla Node.js, zawierał podatność na zanieczyszczenie prototypu w funkcji Utils.merge przed wersjami 6.6.10 i 7.0.6. Funkcja ta nie blokowała specjalnych kluczy, co pozwalało na modyfikację prototypu obiektu JavaScript przez dane kontrolowane przez atakującego.

Ocena ryzyka

Zagrożenie to może prowadzić do nieautoryzowanych zmian w obiektach JavaScript, co może wpłynąć na bezpieczeństwo aplikacji oraz integralność danych. Atakujący mógłby wykorzystać tę podatność do wprowadzenia złośliwego kodu.

Rekomendacja

Zaleca się aktualizację MikroORM do wersji 6.6.10 lub 7.0.6, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu w celu identyfikacji potencjalnych miejsc, gdzie mogła być wykorzystana ta luka.

Oryginalny opis (angielski, źródło NVD)

MikroORM is a TypeScript ORM for Node.js based on Data Mapper, Unit of Work and Identity Map patterns. Prior to versions 6.6.10 and 7.0.6, a prototype pollution vulnerability exists in the Utils.merge helper used internally by MikroORM when merging object structures. The function did not prevent special keys such as __proto__, constructor, or prototype, allowing attacker-controlled input to modify the JavaScript object prototype when merged. This issue has been patched in versions 6.6.10 and 7.0.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS