JVNDB-2026-009321

collerekのormarにおける複数の脆弱性

ormarはPython向けの非同期ミニORMです。バージョン0.23.0以下には、モデルコンストラクタを通じたPydantic検証のバイパスに対して脆弱性があります。認証されていないユーザーが"__pk_only__": trueをJSONリクエストボディに注入することで、すべてのフィールド検証をスキップできます。JSONリクエストボディに"__pk_only__": trueを注入することにより、認証されていない攻撃者はすべてのフィールド検証をスキップし、未検証のデータを直接データベースに永続化可能です。また、二次的な__excluded__パラメータの注入は同様のパターンを使用し、モデルの任意のフィールド（例：emailやrole）を構築時に選択的にnull化します。これは、公式ドキュメントで推奨されているormarの標準的なFastAPI統合パターンに影響を与え、ormar.Modelを直接リクエストボディパラメータとして使用する任意のアプリケーションで権限昇格、データ整合性違反、およびビジネスロジックのバイパスを可能にします。この問題はバージョン0.23.1で修正されました。

collerek

• ormar 0.23.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Pydantic Validation Bypass via __pk_only__ and __excluded__ Kwargs Injection in Model Constructor  Advisory  ormar-orm/ormar  GitHub

1. 不適切な入力確認(CWE-20) [その他]
2. 動的に決定されたオブジェクト属性の不適切に制御された変更(CWE-915) [その他]

1. CVE-2026-27953

1. National Vulnerability Database (NVD) : CVE-2026-27953
2. 関連文書 : Release Fix high vulnerability with kwargs injection  ormar-orm/ormar  GitHub
3. 関連文書 : ormar/ormar/fields/foreign_key.py at master  ormar-orm/ormar  GitHub
4. 関連文書 : ormar/ormar/models/newbasemodel.py at master  ormar-orm/ormar  GitHub (https://github.com/ormar-orm/ormar/blob/master/ormar/models/newbasemodel.py#L128)
5. 関連文書 : ormar/ormar/models/helpers/pydantic.py at master  ormar-orm/ormar  GitHub
6. 関連文書 : ormar/ormar/models/model.py at master  ormar-orm/ormar  GitHub
7. 関連文書 : ormar/examples/fastapi_quick_start.py at master  ormar-orm/ormar  GitHub
8. 関連文書 : ormar/ormar/models/newbasemodel.py at master  ormar-orm/ormar  GitHub (https://github.com/ormar-orm/ormar/blob/master/ormar/models/newbasemodel.py#L292)
9. 関連文書 : Fix/remove kwargs injection (#1582)  ormar-orm/ormar@7f22aa2  GitHub

• [2026年03月31日]
    掲載