CVE-2024-21512：MySQL2漏洞

MySQL2是Node.js的流行MySQL客户端库，每月下载量超过200万次，被发现包含一个严重的安全漏洞，可能会使无数应用程序面临风险。跟踪为CVE-2024-21512，并分配了8.2的高CVSS分数，该缺陷源于一个原型污染漏洞，该漏洞可用于远程代码执行。

原型污染是一类针对JavaScript对象底层结构的攻击。通过操纵原型链（JavaScript中对象的继承机制），攻击者可以注入恶意属性，这可能会导致毁灭性的后果。

在MySQL2的情况下，该漏洞存在于nestTables功能中，其中不适当的输入清理为攻击者修改应用程序使用的对象原型打开了大门。成功的利用可以允许远程攻击者在服务器上执行任意代码，有效地控制受影响的应用程序。

鉴于MySQL2在Node.js生态系统中的广泛采用，CVE-2024-21512漏洞的潜在影响是巨大的。无数依赖MySQL2的Web应用程序、API和后端服务可能会受到这种威胁。

安全社区反应迅速，概念验证漏洞代码已经流传。这凸显了开发人员立即采取行动的紧迫性。

幸运的是，有一个补丁可用。强烈建议升级到MySQL2 3.9.8或更高版本，以解决该漏洞。开发人员应优先处理此更新，并进行彻底的测试，以确保兼容性和安全性。

poc

https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6861580

原文始发于微信公众号（独眼情报）：CVE-2024-21512：MySQL2漏洞