Im beliebten mysql2-Paket (Version vor 3.9.8) für Node.js wurde eine Sicherheitslücke vom Typ Prototype Pollution bekannt. Die Schwachstelle CVE-2024-21512 tritt aufgrund einer unsachgemäßen Benutzereingabesäuberung auf, wenn nestTables
verwendet wird. Ein Angreifer kann den Prototyp von Objekten manipulieren und bösartige Eigenschaften oder Methoden einschleusen. Dies kann zu verschiedenen Sicherheitsproblemen wie Remote-Code-Ausführung, Informationspreisgabe oder Denial-of-Service führen. Grund für die Schwachstelle ist eine unsaubere Input Sanitation wenn man Felder oder Tabellen an nestTables
weitergibt.
Die Schwachstelle betrifft JavaScript und ermöglicht das Einfügen von Eigenschaften in bestehende JavaScript-Prototypen, z. B. von Objekten. JavaScript erlaubt die Änderung aller Objekteigenschaften, einschließlich Attribute wie __proto__
, constructor
und prototype
. Ein Angreifer kann diese Attribute manipulieren, um den Prototyp eines JavaScript-Anwendungsobjekts zu überschreiben oder zu verunreinigen.
Um das Risiko zu mindern, wird empfohlen, auf die behobene Version des Pakets (3.9.8 oder höher) zu aktualisieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: