Origine : bjCSIRT
Numéro : 2024/ALERTE/024
Date de l’alerte : 26/04/2024
APERÇU :
Le package MySql2 de NodeJS est affecté par une vulnérabilité de type injection de code permettant à un attaquant d’exécuter du code arbitraire.
DESCRIPTION
Le package MySql2 de NodeJS est un pilote Javascript permettant aux utilisateurs de se connecter à des bases de données MySql et d’exécuter des requêtes SQL.
Ce package est affecté par une vulnérabilité libellée CVE-2024-21511. Son exploitation permettrait à un attaquant d’injecter et d’exécuter du code arbitraire sur le système cible. Cette faille est due à un filtrage inadéquat du paramètre timezone de la fonction readCodeFor.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
IMPACT :
- Compromission du système ;
- Accès à des données sensibles.
SYSTÈMES AFFECTÉS :
Toutes les versions du plugin MySql2 antérieures à la version 3.9.7.
MESURES À PRENDRE :
Mettre à jour le package MySql2 vers la dernière version disponible.