一、基本情况
mysql2是适用于Node.js的MySQL客户端库,该库的每周下载量超过200万次。
二、漏洞描述
mysql2中存在一个代码注入漏洞(CVE-2024-21511),其CVSS评分为9.8,目前该漏洞的PoC已公开。
mysql2版本3.9.7 之前存在代码注入漏洞,由于调用本地 MySQL Server日期/时间函数时,对readCodeFor 函数中的 timezone参数清理不当,威胁者可构造恶意timezone参数值在受影响的mysql2客户端中导致远程代码执行。
三、影响范围
mysql2 (npm) < 3.9.7
四、修复建议
目前该漏洞已经修复,受影响用户可更新到mysql2 版本3.9.7。
