کشف آسیب‌پذیری در پکیج mySQL2

کشف آسیب‌پذیری در پکیج mySQL2

تاریخ ایجاد

کتابخانه node-mysql2 یکی از محبوب ترین کتابخانه ها جهت اتصال به پایگاه داده در جاوا اسکریپت با بیش از 2 میلیون نصب در هفته است. به تازگی یک آسیب‌پذیری با شناسه‌ CVE-2024-21508 و شدت بالا (CVSS 9.8) در پکیج mySQL2 کشف شده است. نسخه‌های تحت تأثیر این بسته به دلیل اعتبارسنجی نامناسب مقادیر supportBigNumbers و bigNumberStrings در برابر اجرای کد از راه دور (RCE) از طریق تابع readCodeFor آسیب‌پذیر هستند. همچنین این پکیج نسبت‌ به نواقص امنیتی‌‌ cache poisoning و prototype poisoning نیز آسیب‌پذیر است.

محصولات تحت تأثیر
این پکیج در نسخه‌‌های 3.9.4 و قبل‌تر آسیب‌پذیر می‌باشد.


 توصیه‌های امنیتی 
اولأ نسبت به اعمال سریع به‌روزرسانی نسخه‌ این کتابخانه اقدام نمایید و علاوه بر این، بهتر است کاربرانی که از نسخه‌های فعلی پکیج mySQL2 استفاده می‌کنند، پارامترهای اتصال و پارامترهای ارسال شده در Query را محدود نمایند.


منابع خبر:


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-21508
[2]https://blog.slonser.info/posts/mysql2-attacker-configuration/
[3]https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6591085