Die node-mysql2 Bibliothek, eine der beliebtesten Bibliotheken für die Anbindung an Datenbanken in JavaScript, zeigt signifikante Sicherheitsrisiken bei der Verwendung von nutzerdefinierten Datenbankverbindungen. Es geht konkret um die Schwachstellen CVE-2024-21508, CVE-2024-21509 und CVE-2024-21511, die Bewertungen von bis zu 9.8 / 10 auf der CVSS3 Skala erreichen.
Die node-mysql2 Bibliothek wird wöchentlich in über zwei Millionen Installationen genutzt und ist damit ein zentraler Baustein vieler Anwendungen. Im letzten Jahr wurde ein Automatisierungssystem untersucht, das diese Bibliothek nutzt, um Verbindungen zu Benutzerdatenbanken herzustellen und von den Nutzern gesteuerte Abfragen auszuführen. Die Analyse zeigt, dass durch die Freiheiten, die Benutzern bei der Definition von Datenbankverbindungen und SQL-Abfragen gewährt werden, erhebliche Sicherheitsrisiken entstehen.
Es wurde eine Methode entdeckt, mit der beliebiger Code im Rahmen dieser Konfiguration ausgeführt werden kann. Die Schwachstelle beruht darauf, dass die Bibliothek beim Aufbau einer SQL-Abfrage nicht nur einfache Zeichenketten, sondern auch Objekte akzeptiert, was Manipulationen der Abfrage ermöglicht. So kann beispielsweise der Parameter supportBigNumbers
, der eigentlich eine numerische Eingabe erwartet, manipuliert und zur Ausführung unerwünschter Operationen verwendet werden.
Um diese und ähnliche Schwachstellen zu vermeiden, empfiehlt es sich, die Parameter, die in den Verbindungsaufbau und in SQL-Abfragen eingehen, streng zu validieren und zu beschränken. Nutzerdefinierte Eingaben sollten niemals ohne vorherige Überprüfung und Bereinigung in SQL-Abfragen verwendet werden.
Der Hersteller wurde über die Schwachstellen informiert und hat kürzlich ein Update veröffentlicht, das zumindest das Problem der Cache-Manipulation adressiert. Weitere Probleme bleiben jedoch bestehen und erfordern zusätzliche Maßnahmen zur Absicherung der Anwendungen, die node-mysql2 nutzen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: