کشف آسیبپذیری در پکیج mySQL2
کتابخانه node-mysql2 یکی از محبوب ترین کتابخانه ها جهت اتصال به پایگاه داده در جاوا اسکریپت با بیش از 2 میلیون نصب در هفته است. به تازگی یک آسیبپذیری با شناسه CVE-2024-21508 و شدت بالا (CVSS 9.8) در پکیج mySQL2 کشف شده است. نسخههای تحت تأثیر این بسته به دلیل اعتبارسنجی نامناسب مقادیر supportBigNumbers و bigNumberStrings در برابر اجرای کد از راه دور (RCE) از طریق تابع readCodeFor آسیبپذیر هستند. همچنین این پکیج نسبت به نواقص امنیتی cache poisoning و prototype poisoning نیز آسیبپذیر است.
محصولات تحت تأثیر
این پکیج در نسخههای 3.9.4 و قبلتر آسیبپذیر میباشد.
توصیههای امنیتی
اولأ نسبت به اعمال سریع بهروزرسانی نسخه این کتابخانه اقدام نمایید و علاوه بر این، بهتر است کاربرانی که از نسخههای فعلی پکیج mySQL2 استفاده میکنند، پارامترهای اتصال و پارامترهای ارسال شده در Query را محدود نمایند.
