漏洞背景
近日,嘉诚安全监测到mysql2存在一个远程代码执行漏洞,漏洞编号为:CVE-2024-21508,目前该漏洞的细节及PoC已公开。
mysql2是适用于Node.js的MySQL客户端库,该库的每周下载量超过200万次。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。由于readCodeFor函数中未正确验证supportBigNumbers和bigNumberStrings值,攻击者可通过构造恶意对象并将其作为参数传递给connection.query函数来执行恶意JavaScript代码,从而导致远程代码执行。
危害影响
影响范围:
mysql2 (npm) < 3.9.4
处置建议
目前该漏洞已经修复,受影响用户可更新到mysql2 (npm) 3.9.4或更高版本。
下载链接:
https://github.com/sidorares/node-mysql2/releases
参考链接:
https://github.com/sidorares/node-mysql2/pull/2572
https://blog.slonser.info/posts/mysql2-attacker-configuration/
https://github.com/wellwelwel/node-mysql2/commit/c6f329d7f97af3354278f10b997d8406bd9dd136
https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6591085
https://www.npmjs.com/package/mysql2
原文始发于微信公众号(嘉诚安全):【漏洞通告】MySQL2远程代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论