99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


【漏洞通告】關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞(CVE-2024-21508)

安全通告

關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞預警通告

發(fā)布日期:2024-4-24

[2024]008

漏洞描述

2024年4月24日公司監(jiān)測到關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞(CVE-2024-21508)。MySQL2 是用于操作 MySQL 數(shù)據(jù)庫的高性能 Node.js 庫,可兼容 Node MySQLAPI、并提供預編譯語句、擴展編碼等功能。由于readCodeFor函數(shù)中未正確驗證supportBigNumbers和bigNumberStrings值,威脅者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。

漏洞編號

CVE-2024-21508

漏洞危害

攻擊者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。

漏洞等級

高危
受影響版本

mysql2(npm) < 3.9.4

修復方案

目前該漏洞已經(jīng)修復,受影響用戶可更新到mysql2 3.9.4或更高版本。

下載鏈接:

https://github.com/sidorares/node-mysql2/releases

參考鏈接

https://github.com/sidorares/node-mysql2/pull/2572

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com