کشف آسیب‌پذیری بحرانی در mysql2

کشف آسیب‌پذیری بحرانی در mysql2

تاریخ ایجاد

یک آسیب‌پذیری با شناسه‌ CVE-2024-21511 و شدت بحرانی (9.8) در پکیج mysql2 کشف‌ شده ‌است که به‌ دلیل عدم پاکسازی پارامتر timezone منجر به تزریق کد دلخواه می‌گردد. این پارامتر در تابع readCodeFor قرار گرفته ‌است که با فراخوانی تابع date/time سرور MySQL در دسترس خواهد بود. Mysql2 یک API سازگار با mysqljs می‌باشد که مجموعه‌ای از عملکردها را پشتیبانی می‌کند.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از این آسیب‌پذیری‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). سوء‌استفاده از آن نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد(UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). هر سه ضلع امنیت با شدت زیاد تاثیر قرار می‌گیرند. (C:H/I:H/A:H)

محصولات تحت تأثیر
نسخه‌های پیش از 3.9.7 پکیج mysql2 تحت‌تاثیر نقص امنیتی مربوطه قرار دارند.

توصیه‌های امنیتی
به‌روزرسانی به نسخه 3.9.7 پکیج mysql2 و یا نسخه‌های بالاتر توصیه می‌شود.

منابع خبر:


[1] https://www.cvedetails.com/cve/CVE-2024-21511/
[2] https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6670046