【漏洞復現】MySQL2程式碼注入漏洞（CVE-2024-21511）

一、漏洞概述

mysql2是適用於Node.js的MySQL客戶端庫，該庫的每週下載量超過200萬次。

2024年4月24日，啟明星辰VSRC監測到mysql2中存在一個程式碼注入漏洞（CVE-2024-21511），其CVSS評分為9.8，目前該漏洞的PoC已公開。

mysql2版本3.9.7 之前存在程式碼注入漏洞，由於調用本地 MySQL Server日期/時間函數時，對readCodeFor 函數中的 timezone參數清理不當，威脅者可構造惡意timezone參數值在受影響的mysql2客戶端中導致程式碼執行。

二、漏洞復現

三、影響範圍

mysql2 (npm) 3.9.7

四、安全措施

4.1升級版本

目前該漏洞已經修復，受影響使用者可更新到mysql2 版本3.9.7。

下載連結：

https://github.com/sidorares/node-mysql2/releases

4.2臨時措施

暫無。

4.3通用建議

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

• 4.4參考連結

https://github.com/sidorares/node-mysql2/pull/2608

https://github.com/sidorares/node-mysql2/commit/7d4b098c7e29d5a6cb9eac2633bfcc2f0f1db713

https://nvd.nist.gov/vuln/detail/CVE-2024-21511