MikroORM — это ORM TypeScript для Node.js, основанный на шаблонах Data Mapper, Unit of Work и Identity Map. До версий 6.6.10 и 7.0.6 существовала уязвимость SQL-инъекции, когда специально созданные объекты интерпретировались как необработанные фрагменты SQL-запроса. Эта проблема исправлена в версиях 6.6.10 и 7.0.6.
Показать оригинальное описание (EN)
MikroORM is a TypeScript ORM for Node.js based on Data Mapper, Unit of Work and Identity Map patterns. Prior to versions 6.6.10 and 7.0.6, there is a SQL injection vulnerability when specially crafted objects are interpreted as raw SQL query fragments. This issue has been patched in versions 6.6.10 and 7.0.6.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mikro-Orm Mikroorm
cpe:2.3:a:mikro-orm:mikroorm:*:*:*:*:*:node.js:*:*
|
— |
6.6.10
|
|
Mikro-Orm Mikroorm
cpe:2.3:a:mikro-orm:mikroorm:*:*:*:*:*:node.js:*:*
|
7.0.0
|
7.0.6
|