漏洞等级 High
CVE编号 CVE-2024-21508、CVE-2024-21511
mysql2是适用于Node.js的MySQL客户端库,昊之云技术近日监测到mysql2存在两个远程代码执行漏洞(CVE-2024-21508、CVE-2024-21511),目前漏洞的细节及PoC已公开。
CVE-2024-21508:mysql2版本3.9.4之前,由于readCodeFor函数中未正确验证supportBigNumbers和bigNumberStrings值,威胁者可通过构造恶意对象并将其作为参数传递给 connection.query函数来执行恶意JavaScript 代码,从而导致远程代码执行。
CVE-2024-21511:受影响版本的 readCodeFor 函数在调用 readDateTimeString 函数处理日期时拼接时区参数 timezone,导致代码注入漏洞。攻击者可构造恶意的时区参数(如:`'); payload//` )在mysql2客户端中远程执行任意代码。
CVE-2024-21508:mysql2 (npm) < 3.9.4
CVE-2024-21511:mysql2 (npm) < 3.9.7
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1.目前官方已有可更新版本,建议用户尽快更新到安全版本:mysql2 3.9.7或更高版本;
https://github.com/sidorares/node-mysql2/commit/7d4b098c7e29d5a6cb9eac2633bfcc2f0f1db713
https://github.com/sidorares/node-mysql2/pull/2572
