文章总结： ormar库被披露存在严重SQL注入漏洞，编号CVE-2026-26198，CVSS评分9.8分，影响版本0.9.9至0.22.0。漏洞源于聚合函数min()和max()中用户输入未过滤，导致SQL注入，攻击者可读取任意数据库表数据。漏洞自2021年引入，持续近四年，已在0.23.0版本修复。建议开发者立即升级并审计涉及动态字段传参的接口。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,WEB安全,解决方案,安全开发

Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取

信安在线资讯

2026年3月2日 09:50 北京

近日，Python 异步 ORM 库 ormar 被披露存在一项严重安全漏洞，编号为 CVE-2026-26198，CVSS 评分高达 9.8 分。该漏洞影响版本 0.9.9 至 0.22.0，波及范围广泛。

漏洞核心问题出现在聚合函数 min() 与 max() 的实现逻辑中。开发者在构造 SQL 语句时，将用户可控的列名参数直接传入 sqlalchemy.text()，且未进行任何校验或过滤，从而形成典型的 SQL 注入风险。攻击者可通过构造恶意字段名，注入子查询语句，读取与当前模型无关的数据库表内容，实现未授权数据访问。

由于 ormar 在 FastAPI 及异步 Python 应用中使用广泛，且官方示例代码常允许用户选择聚合字段，若接口直接将前端参数传入 Model.objects.min() 或 max()，即可成为完整的 SQL 注入入口。该攻击在 SQLite、PostgreSQL、MySQL 等主流数据库后端均已验证可行。

研究指出，该问题自 2021 年 3 月 12 日引入（v0.9.9）后从未被修改，持续存在近四年。

目前维护者已在 0.23.0 版本中完成修复。建议开发者立即检查依赖版本，尽快升级，同时审计所有涉及动态字段传参的聚合接口，避免将用户输入直接用于 SQL 构造。

原文来源：安全圈

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安在线资讯 《Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取》