Aikido виявила вразливість операторної ін’єкції в Prisma ORM, яка дозволяє зловмисникам обходити автентифікацію, навіть із реляційними базами даних, як PostgreSQL.

Як це працює?

У запитах Prisma (наприклад, findFirst) некерований ввід, як password: { not: “” }, може ігнорувати перевірку пароля, повертаючи користувача лише за email.
Уразливі функції: findFirst, findMany, updateMany, deleteMany, які приймають оператори ($eq, $ne).
String-based оператори Prisma спрощують експлуатацію, на відміну від ORM із об’єктними операторами.

Що загрожує? Несанкціонований доступ до даних і порушення безпеки додатків.

Як захиститися?

-Приводьте ввід до примітивних типів: email.toString().
-Валідуйте ввід за допомогою бібліотек (zod, joi, class-validator).
-Оновлюйте Prisma та ORM для отримання виправлень безпеки.
-Використовуйте інструменти, як Aikido SAST, для сканування коду.

Операторна ін’єкція — прихована загроза для ORM. Захищайте свої додатки!