mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广

漏洞危害

OSCS 描述
mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。
mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未正确验证 supportBigNumbers 和 bigNumberStrings 值,攻击者可以通过构造恶意对象并将其作为参数传递给 connection.query 函数来执行恶意 JavaScript 代码,从而实现远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-3gmx-vbwq

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
mysql2 (-∞, 3.9.4) 升级 将 mysql2 升级至 3.9.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-3gmx-vbwq

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-3gmx-vbwq

https://nvd.nist.gov/vuln/detail/CVE-2024-21508

https://blog.slonser.info/posts/mysql2-attacker-configuration/

https://github.com/wellwelwel/node-mysql2/commit/c6f329d7f97af3354278f10b997d8406bd9dd136

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • Apache Airflow JDBC Provider <4.0.0 远程代码执行漏洞(CVE-2023-22886)

    漏洞类型 代码注入 发现时间 2023/6/30 漏洞等级 中危 MPS编号 MPS-2023-0703 CVE编号 CVE-2023-22886 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的任务和工作流管理平台,JDBC Provider负责提供与关系型数据库的连接和交互功能。Apache Airflow JDBC…

    2023年8月30日
    0
  • Windows Server NPS 远程代码执行漏洞 (MPS-56ge-38z4)

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器,用于限制用户和设备对网络资源的访问权限,其 IAS Extensi…

    2023年8月22日
    0
  • WinRAR<6.23 远程代码执行漏洞【Poc公开】 (CVE-2023-38831)

    漏洞类型 代码注入 发现时间 2023-08-25 漏洞等级 高危 MPS编号 MPS-bw2s-d0rv CVE编号 CVE-2023-38831 漏洞影响广度 广 漏洞危害 OSCS 描述 WinRAR 是一款适用于 Windows 系统的压缩包管理器。WinRAR 6.2.3之前版本打开压缩文件时会调用 ShellExecute 函数匹配文件名,如果目…

    2023年8月26日
    0
  • curl 存在 fopen 竞争条件漏洞 (CVE-2023-32001) [有POC]

    漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

    2023年8月11日
    0
  • Redis SORT_RO命令可绕过 ACL 配置 (CVE-2023-41053)

    漏洞类型 权限管理不当 发现时间 2023-09-07 漏洞等级 中危 MPS编号 MPS-2pvi-xqr4 CVE编号 CVE-2023-41053 漏洞影响广度 广 漏洞危害 OSCS 描述 Redis 是一个开源的键值型非关系数据库,SORT_RO命令用于对存储在 Redis 中的数据进行排序,ACL 配置指 Redis 的访问控制列表。 受影响版本…

    2023年9月11日
    0