Vulnerabilidad en Ormar (CVE-2026-26198)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

24/02/2026

Última modificación:

25/02/2026

Descripción

Ormar es un mini ORM asíncrono para Python. En las versiones 0.9.9 a 0.22.0, al realizar consultas agregadas, Ormar ORM construye expresiones SQL pasando los nombres de columna proporcionados por el usuario directamente a `sqlalchemy.text()` sin ninguna validación o saneamiento. Los métodos `min()` y `max()` en la clase `QuerySet` aceptan una entrada de cadena arbitraria como parámetro de columna. Mientras que `sum()` y `avg()` están parcialmente protegidos por una verificación de tipo `is_numeric` que rechaza campos inexistentes, `min()` y `max()` omiten esta validación por completo. Como resultado, una cadena controlada por el atacante se incrusta como SQL sin procesar dentro de la llamada a la función agregada. Cualquier usuario no autorizado puede explotar esta vulnerabilidad para leer todo el contenido de la base de datos, incluidas las tablas no relacionadas con el modelo consultado, inyectando una subconsulta como parámetro de columna. La versión 0.23.0 contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto