کتابخانه node-mysql2 یکی از محبوب ترین کتابخانه ها جهت اتصال به پایگاه داده در جاوا اسکریپت با بیش از 2 میلیون نصب در هفته است. به تازگی یک آسیبپذیری با شناسه CVE-2024-21508 و شدت بالا (CVSS 9.8) در پکیج mySQL2 کشف شده است. نسخههای تحت تأثیر این بسته به دلیل اعتبارسنجی نامناسب مقادیر supportBigNumbers و bigNumberStrings در برابر اجرای کد از راه دور (RCE) از طریق تابع readCodeFor آسیبپذیر هستند. همچنین این پکیج نسبت به نواقص امنیتی cache poisoning و prototype poisoning نیز آسیبپذیر است.
محصولات تحت تأثیر
این پکیج در نسخههای 3.9.4 و قبلتر آسیبپذیر میباشد.
توصیههای امنیتی
اولأ نسبت به اعمال سریع بهروزرسانی نسخه این کتابخانه اقدام نمایید و علاوه بر این، بهتر است کاربرانی که از نسخههای فعلی پکیج mySQL2 استفاده میکنند، پارامترهای اتصال و پارامترهای ارسال شده در Query را محدود نمایند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-21508
[2]https://blog.slonser.info/posts/mysql2-attacker-configuration/
[3]https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6591085
- 66