Origine : bjCSIRT

Numéro : 2024/ALERTE/024

Date de l’alerte : 26/04/2024

APERÇU :

Le package MySql2 de NodeJS est affecté par une vulnérabilité de type injection de code permettant à un attaquant d’exécuter du code arbitraire.

DESCRIPTION 

Le package MySql2 de NodeJS est un pilote Javascript permettant aux utilisateurs de se connecter à des bases de données MySql et d’exécuter des requêtes SQL.

Ce package est affecté par une vulnérabilité libellée CVE-2024-21511. Son exploitation permettrait à un attaquant d’injecter et d’exécuter du code arbitraire sur le système cible. Cette faille est due à un filtrage inadéquat du paramètre timezone de la fonction readCodeFor.

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.

IMPACT :

• Compromission du système ; 
• Accès à des données sensibles. 

SYSTÈMES AFFECTÉS :

Toutes les versions du plugin MySql2 antérieures à la version 3.9.7. 

MESURES À PRENDRE :

Mettre à jour le package MySql2 vers la dernière version disponible.  

RÉFÉRENCES :

• https://www.cvedetails.com/cve/CVE-2024-21511/ 
• https://nvd.nist.gov/vuln/detail/CVE-2024-21511 
• https://www.cyberveille-sante.gouv.fr/alertes/node-mysql2-cve-2024-21511-2024-04-23