ГлавнаяБаза уязвимостей БДУ → BDU:2024-02887
10критическая

BDU:2024-02887

Уязвимость функции readCodeFor библиотеки для работы с базами данных mysql2, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-15
Описание

Уязвимость функции readCodeFor библиотеки для работы с базами данных mysql2 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
MySQL2 (до 3.9.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к базе данных;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей.

Использование рекомендаций производителя:
https://www.npmjs.com/package/mysql2

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.npmjs.com/package/mysql2https://blog.slonser.info/posts/mysql2-attacker-configuration/https://github.com/sidorares/node-mysql2/blob/1609b5393516d72a4ae47196837317fbe75e0c13/lib/parsers/text_parser.js%23L14C10-L14C21https://github.com/sidorares/node-mysql2/commit/74abf9ef94d76114d9a09415e28b496522a94805https://github.com/sidorares/node-mysql2/pull/2572https://github.com/sidorares/node-mysql2/releases/tag/v3.9.4https://security.snyk.io/vuln/SNYK-JS-MYSQL2-6591085
Проверьте безопасность своего сайта и почты → Полная проверка домена