0x00 漏洞编号

• CVE-2024-21511

0x01 危险等级

• 高危
  

0x02 漏洞概述

mysql2是用于操作MySQL数据库的高性能Node.js库，可兼容Node MySQL API、并提供预编译语句、扩展编码等功能。

0x03 漏洞详情

CVE-2024-21511

漏洞类型：代码注入

影响：执行任意代码

简述：mysql2存在代码注入漏洞，由于readCodeFor函数在调用readDateTimeString函数处理日期时拼接时区参数timezone，导致攻击者可构造恶意的时区参数在mysql2客户端中远程执行任意代码。

0x04 影响版本

• 0.0.1 <= mysql2 < 3.9.7

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://github.com/sidorares/node-mysql2

原文始发于微信公众号（浅安安全）：漏洞预警 | MySQL2代码注入漏洞