mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广

漏洞危害

OSCS 描述
mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。
mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未正确验证 supportBigNumbers 和 bigNumberStrings 值,攻击者可以通过构造恶意对象并将其作为参数传递给 connection.query 函数来执行恶意 JavaScript 代码,从而实现远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-3gmx-vbwq

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
mysql2 (-∞, 3.9.4) 升级 将 mysql2 升级至 3.9.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-3gmx-vbwq

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-3gmx-vbwq

https://nvd.nist.gov/vuln/detail/CVE-2024-21508

https://blog.slonser.info/posts/mysql2-attacker-configuration/

https://github.com/wellwelwel/node-mysql2/commit/c6f329d7f97af3354278f10b997d8406bd9dd136

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

    漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重 MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。 PaddlePaddle 2.6.0之前版…

    2024年1月24日
    0
  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • GitLab EE 安全扫描策略绕过导致远程代码执行 (CVE-2023-5009)

    漏洞类型 访问控制不当 发现时间 2023-09-20 漏洞等级 严重 MPS编号 MPS-zft4-sq8x CVE编号 CVE-2023-5009 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab EE 是 GitLab 的企业版本,用于管理软件开发项目、代码版本控制和协作等,Pipeline Jobs 指的是 CI/CD 中的任务。 由于对CV…

    2023年9月21日
    0
  • OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511)

    漏洞类型 拒绝服务 发现时间 2024-04-09 漏洞等级 低危 MPS编号 MPS-1nsb-30rg CVE编号 CVE-2024-2511 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。 当服务器启用了SSL_OP_NO_TI…

    2024年4月9日
    0
  • Apache Solr 环境变量信息泄漏漏洞 (CVE-2023-50290)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-01-13 漏洞等级 高危 MPS编号 MPS-xjy6-0kiu CVE编号 CVE-2023-50290 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Solr 是一款开源的搜索引擎。 在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护…

    2024年1月15日
    0