CVE-2024-21512

Nome do software vulnerável e versões afetadas:

Versões do mysql2 anteriores à 3.9.8

Descrição:

O problema está relacionado à sanitização inadequada de entradas do usuário passadas para campos e tabelas ao usar nestTables, levando à Prototype Pollution. Isso pode permitir que um invasor remoto execute um ataque de Prototype Pollution. A vulnerabilidade afeta uma biblioteca cliente MySQL popular para Node.js, com mais de 2 milhões de downloads mensais, colocando potencialmente inúmeras aplicações em risco.

Recomendações:

Para versões anteriores à 3.9.8, atualize para a versão 3.9.8 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso do nestTables até que um patch esteja disponível. Restrinja o acesso a entradas de usuário que possam ser passadas para campos e tabelas para minimizar o risco de exploração. Evite usar entradas de usuário não sanitizadas nos endpoints da API afetados até que o problema seja resolvido.