【漏洞预警】mysql2<3.9.7 代码注入漏洞【CVE-2024-21511】

cexlife 飓风网络安全 2024-04-24 22:43

---

漏洞描述:mysql2是用于操作 MySQL 数据库的高性能Node.js库，可兼容 Node MySQL API、并提供预编译语句、扩展编码等功能。受影响版本的 readCodeFor 函数在调用 readDateTimeString 函数处理日期时拼接时区参数 timezone，导致代码注入漏洞。攻击者可构造恶意的时区参数（如：'); payload// ）在mysql2客户端中远程执行任意代码。

影响范围:mysql2[0.0.1, 3.9.7)修复方案:升级mysql2到 3.9.7 或更高版本参考链接:https://github.com/sidorares/node-mysql2/commit/7d4b098c7e29d5a6cb9eac2633bfcc2f0f1db713