安全通告
關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞預警通告
發(fā)布日期:2024-4-24
[2024]008號
漏洞描述
2024年4月24日公司監(jiān)測到關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞(CVE-2024-21508)。MySQL2 是用于操作 MySQL 數(shù)據(jù)庫的高性能 Node.js 庫,可兼容 Node MySQLAPI、并提供預編譯語句、擴展編碼等功能。由于readCodeFor函數(shù)中未正確驗證supportBigNumbers和bigNumberStrings值,威脅者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。
漏洞編號
CVE-2024-21508
漏洞危害
攻擊者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。
漏洞等級
高危
受影響版本
mysql2(npm) < 3.9.4
修復方案
目前該漏洞已經(jīng)修復,受影響用戶可更新到mysql2 3.9.4或更高版本。
下載鏈接:
https://github.com/sidorares/node-mysql2/releases
參考鏈接
https://github.com/sidorares/node-mysql2/pull/2572