2024年4月23日,网上公开披露了一个mysql2代码执行漏洞(CVE-2024-21511),mysql2 是用于操作 MySQL 数据库的高性能Node.js库,可兼容 Node MySQL API、并提供预编译语句、扩展编码等功能,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本的 readCodeFor 函数在调用 readDateTimeString 函数处理日期时拼接时区参数 timezone,导致代码注入漏洞。攻击者可构造恶意的时区参数(如:`'); payload//` )在mysql2客户端中远程执行任意代码。
风险等级:高风险。
影响范围:
mysql2<3.9.7
修复建议:
更新至最新版本3.9.7
进行安全更新方法:
https://github.com/sidorares/node-mysql2/releases/tag/v3.9.7
