Node-mysql2: hochkritische Schwachstellen entdeckt

Die node-mysql2 Bibliothek, eine der beliebtesten Bibliotheken für die Anbindung an Datenbanken in JavaScript, zeigt signifikante Sicherheitsrisiken bei der Verwendung von nutzerdefinierten Datenbankverbindungen. Es geht konkret um die Schwachstellen CVE-2024-21508, CVE-2024-21509 und CVE-2024-21511, die Bewertungen von bis zu 9.8 / 10 auf der CVSS3 Skala erreichen.

Die node-mysql2 Bibliothek wird wöchentlich in über zwei Millionen Installationen genutzt und ist damit ein zentraler Baustein vieler Anwendungen. Im letzten Jahr wurde ein Automatisierungssystem untersucht, das diese Bibliothek nutzt, um Verbindungen zu Benutzerdatenbanken herzustellen und von den Nutzern gesteuerte Abfragen auszuführen. Die Analyse zeigt, dass durch die Freiheiten, die Benutzern bei der Definition von Datenbankverbindungen und SQL-Abfragen gewährt werden, erhebliche Sicherheitsrisiken entstehen.

Es wurde eine Methode entdeckt, mit der beliebiger Code im Rahmen dieser Konfiguration ausgeführt werden kann. Die Schwachstelle beruht darauf, dass die Bibliothek beim Aufbau einer SQL-Abfrage nicht nur einfache Zeichenketten, sondern auch Objekte akzeptiert, was Manipulationen der Abfrage ermöglicht. So kann beispielsweise der Parameter supportBigNumbers, der eigentlich eine numerische Eingabe erwartet, manipuliert und zur Ausführung unerwünschter Operationen verwendet werden.

Um diese und ähnliche Schwachstellen zu vermeiden, empfiehlt es sich, die Parameter, die in den Verbindungsaufbau und in SQL-Abfragen eingehen, streng zu validieren und zu beschränken. Nutzerdefinierte Eingaben sollten niemals ohne vorherige Überprüfung und Bereinigung in SQL-Abfragen verwendet werden.

Der Hersteller wurde über die Schwachstellen informiert und hat kürzlich ein Update veröffentlicht, das zumindest das Problem der Cache-Manipulation adressiert. Weitere Probleme bleiben jedoch bestehen und erfordern zusätzliche Maßnahmen zur Absicherung der Anwendungen, die node-mysql2 nutzen.

Tags :

Related Posts

SQL-Injection in allen Grafana-Versionen möglich

Eine kritische Sicherheitslücke, die alle Versionen der Open-Source-Plattform Grafana für Monitoring und Observabilität betrifft, wurde kürzlich auf dem Blog von fdvoid0 bekannt gegeben. Die Schwachstelle ermöglicht es durch SQL-Injection, unautorisierten Zugriff auf Daten zu erlangen.

Read More

Sicherheitslücke in GitLab und GitHub ermöglicht Malware-Verbreitung über CDN

Eine kürzlich von BleepingComputer aufgedeckte Sicherheitslücke in den Plattformen GitHub und nun auch GitLab zeigt, wie Cyberkriminelle durch eine sogenannte “GitHub-artige CDN-Schwachstelle” Malware verteilen können. Diese Schwachstelle erlaubt es Angreifern, über die Kommentarfunktion schädliche Software zu verbreiten.

Read More

CrushFTP Schwachstelle erlaubt Download von Systemdateien

Am 19. April 2024 hat CrushFTP, eine weit verbreitete Enterprise FTP-Client Lösung, eine kritische Sicherheitswarnung herausgegeben. In Versionen von CrushFTP v11 unterhalb von 11.1 wurde eine Schwachstelle entdeckt, die es Nutzern ermöglicht, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Diese Sicherheitslücke wurde in der neuesten Version 11.1.0 behoben.

Read More