CVE-2026-26198 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:ormar ORM库存在 **SQL注入** 漏洞。 💥 **后果**:攻击者可注入恶意SQL,导致 **数据泄露、篡改或破坏**。 📌 **核心**:min/max方法未校验列名。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入)。 🛠 **缺陷点**:`min` 和 `max` 方法直接接收用户输入的 **列名**。 ⚠️ **问题**:缺乏对列名的 **白名单验证** 或转义处理。
Q3影响谁?(版本/组件)
📦 **组件**:Python ORM库 **ormar**。 👤 **开发者**:collerek。 📉 **受影响版本**:**0.22.0 及之前** 的所有版本。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:数据库用户权限。 💾 **数据**:可读取、修改、删除任意表数据。 🌐 **范围**:CVSS 3.1 评分极高 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),影响 **机密性、完整性、可用性**。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证** (PR:N)。 🌍 **网络**:**远程** 可利用 (AV:N)。 ⚡ **复杂度**:**低** (AC:L),无需特殊配置或用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:有现成利用代码。 🔗 **链接**:[GitHub PoC](https://github.com/blackhatlegend/CVE-2026-26198)。 🌍 **在野**:数据未提及,但PoC已公开,风险高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查代码中是否使用 `ormar` 的 `min()` 或 `max()` 方法。 📝 **特征**:传入参数是否直接来自 **用户输入** (如URL参数、JSON body)。 🛡️ **扫描**:静态代码分析工具可检测未验证的列名拼接。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布补丁。 📦 **修复版本**:**0.23.0**。 🔗 **详情**:[GitHub Release](https://github.com/collerek/ormar/releases/tag/0.23.0) 或 [安全公告](https://github.com/collerek/ormar/security/advisories/GHSA-xxh2-68g9-8jqr)。
Q9没补丁咋办?(临时规避)
🚫 **规避**:升级至 **0.23.0+**。 ⏳ **临时**:若无法升级,**禁止** 将用户输入直接作为列名传入 `min`/`max`。 🛡️ **替代**:使用硬编码的白名单列名,或改用其他ORM方法。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急** (Critical)。 📅 **时间**:2026-02-24 公布。 💡 **建议**:立即 **升级** 或 **应用临时规避措施**,防止远程代码执行/数据窃取。