,
Le package MySql2 de NodeJS est un pilote Javascript permettant aux utilisateurs de se connecter à des bases de données MySql et d’exécuter des requêtes SQL.
Ce package est affecté par une vulnérabilité libellée CVE-2024-21511. Son exploitation permettrait à un attaquant d’injecter et d’exécuter du code arbitraire sur le système cible. Cette faille est due à un filtrage inadéquat du paramètre timezone de la fonction readCodeFor.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
RISQUES DE SÉCURITÉ
- Compromission du système
- Accès à des données sensibles
SYSTÈMES AFFECTÉS
- Toutes les versions du plugin MySql2 antérieures à la version 3.9.7.
MESURES À PRENDRE
- Mettre à jour le package MySql2 vers la dernière version disponible.
Source : bjCSIRT
