CVE-2024-21508
🔴 Łataj teraz
Nieprawidłowa walidacja w mysql2 umożliwia zdalne wykonanie kodu.
CVSS
9.8
EPSS
39.7%
Exploit
none
Vendor
Opis źródłowy (NVD)
Versions of the package mysql2 before 3.9.4 are vulnerable to Remote Code Execution (RCE) via the readCodeFor function due to improper validation of the supportBigNumbers and bigNumberStrings values.
rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 39.7% |
| Opublikowano (NVD) | 2024-04-11 05:15:47 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-15 00:35:42 UTC |
Referencje
- https://blog.slonser.info/posts/mysql2-attacker-configuration/ (report@snyk.io)
- https://github.com/sidorares/node-mysql2/blob/1609b5393516d72a4ae47196837317fbe75e0c13/lib/parsers/text_parser.js%23L14C10-L14C21 (report@snyk.io)
- https://github.com/sidorares/node-mysql2/commit/74abf9ef94d76114d9a09415e28b496522a94805 (report@snyk.io)
- https://github.com/sidorares/node-mysql2/pull/2572 (report@snyk.io)
- https://github.com/sidorares/node-mysql2/releases/tag/v3.9.4 (report@snyk.io)
- https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6591085 (report@snyk.io)