PT-2024-6583 · Mysql2 · Mysql2

Zhaoyudi

·

Publicado

2024-04-23

·

Atualizado

2026-06-04

·

CVE-2024-21511

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do mysql2 anteriores à 3.9.7
Descrição:
O problema está relacionado à sanitização inadequada do parâmetro timezone na função readCodeFor, o que pode levar à injeção de código arbitrário ao chamar uma função nativa de data/hora do servidor MySQL. Isso pode permitir que um invasor remoto execute código arbitrário.
Recomendações:
Para versões anteriores à 3.9.7, atualize para a versão 3.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função readCodeFor ou sanitizar o parâmetro timezone para minimizar o risco de exploração.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

BDU:2024-07729
CVE-2024-21511
GHSA-4RCH-2FH8-94VW

Produtos afetados

Mysql2