MySQL2 Açığı Saldırganların Uzaktan Kod Oluşturmasına İzin Veriyor

MySQL2 Açığı Saldırganların Uzaktan Kod Oluşturmasına İzin Veriyor

Haftada 2 milyondan fazla kurulumla veritabanı bağlantıları için kullanılan popüler bir JavaScript aracı olan node-mysql2 kütüphanesinde üç kritik güvenlik açığı tespit edilmiştir: CVE-2024-21508, CVE-2024-21509 ve CVE-2024-21511 olarak adlandırılan uzaktan kod yürütme, keyfi kod ekleme ve prototip kirliliği.

Önem dereceleri 6.5 (Orta) ile 9.8 (Kritik) arasında değişen bu güvenlik açıkları, saldırganlara bağlantı sonrası sunucu düzeyinde erişim sağlayarak önemli riskler oluşturmaktadır. Bir sorun için bir yama yayınlanmış olsa da, iki kritik güvenlik açığı satıcı tarafından ele alınmamıştır.

CVE-2024-21508 ve CVE-2024-21511, node-mysql2 kütüphanesindeki yetersiz doğrulama nedeniyle ortaya çıkmakta ve veritabanı sorguları için dizeler yerine yanlışlıkla nesneler kabul edilebilmektedir. Bu kusur, kütüphanenin sorgu ayrıştırma işlevlerini oluşturma ve önbelleğe alma yöntemiyle birleştiğinde, bir saldırganın aktarılan parametreleri manipüle etmesi durumunda uzaktan kod yürütülmesine kapı açar.

Ek olarak, kaynak kodun 'supportBugNumbers' parametresi aracılığıyla büyük sayıları ele alması, güvenlik açığını daha da karmaşık hale getirerek kötü amaçlı kod yürütülmesine olanak tanır.

Etkilenen Sistemler

Node.js mysql2 3.9.6

IoC’ler

-

Çözüm Önerileri

Node.js GIT Deposunda bulunan mysql2'nin en son sürümüne yükseltin.

Tedbirler

Tedarikçinin araştırmacının açıklamalarına yanıt vermemesi, daha fazla düzeltmeyi geciktirdi ve kullanıcıların en azından çözülen sorunları hafifletmek için kurulumlarını güncellemeleri tavsiye edildi.

CVE / CWE

CVE-2024-21511

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2024-21511

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.