یک آسیبپذیری با شناسه CVE-2024-21511 و شدت بحرانی (9.8) در پکیج mysql2 کشف شده است که به دلیل عدم پاکسازی پارامتر timezone منجر به تزریق کد دلخواه میگردد. این پارامتر در تابع readCodeFor قرار گرفته است که با فراخوانی تابع date/time سرور MySQL در دسترس خواهد بود. Mysql2 یک API سازگار با mysqljs میباشد که مجموعهای از عملکردها را پشتیبانی میکند.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهرهبرداری از این آسیبپذیری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوءاستفاده از آن نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد(UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). هر سه ضلع امنیت با شدت زیاد تاثیر قرار میگیرند. (C:H/I:H/A:H)
محصولات تحت تأثیر
نسخههای پیش از 3.9.7 پکیج mysql2 تحتتاثیر نقص امنیتی مربوطه قرار دارند.
توصیههای امنیتی
بهروزرسانی به نسخه 3.9.7 پکیج mysql2 و یا نسخههای بالاتر توصیه میشود.
منابع خبر:
[1] https://www.cvedetails.com/cve/CVE-2024-21511/
[2] https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6670046
- 107