Prototype Pollution Sicherheitslücke in mysql2 Library für Node.js entdeckt

Im beliebten mysql2-Paket (Version vor 3.9.8) für Node.js wurde eine Sicherheitslücke vom Typ Prototype Pollution bekannt. Die Schwachstelle CVE-2024-21512 tritt aufgrund einer unsachgemäßen Benutzereingabesäuberung auf, wenn nestTables verwendet wird. Ein Angreifer kann den Prototyp von Objekten manipulieren und bösartige Eigenschaften oder Methoden einschleusen. Dies kann zu verschiedenen Sicherheitsproblemen wie Remote-Code-Ausführung, Informationspreisgabe oder Denial-of-Service führen. Grund für die Schwachstelle ist eine unsaubere Input Sanitation wenn man Felder oder Tabellen an nestTables weitergibt.

Die Schwachstelle betrifft JavaScript und ermöglicht das Einfügen von Eigenschaften in bestehende JavaScript-Prototypen, z. B. von Objekten. JavaScript erlaubt die Änderung aller Objekteigenschaften, einschließlich Attribute wie __proto__constructor und prototype. Ein Angreifer kann diese Attribute manipulieren, um den Prototyp eines JavaScript-Anwendungsobjekts zu überschreiben oder zu verunreinigen.

Um das Risiko zu mindern, wird empfohlen, auf die behobene Version des Pakets (3.9.8 oder höher) zu aktualisieren.

Related Posts

Welotec TK500v1 Industrie-Router - Angreifer können Systeme übernehmen

Welotec, ein führender Anbieter von industriellen Netzwerklösungen, hat zwei kritische Sicherheitslücken in seiner TK500v1-Router-Serie geschlossen. Die Schwachstellen betreffen mehrere Modelle, darunter den weit verbreiteten 4G LTE Industrial Router TK525L, der mit fünf Ethernet-Ports, RS-232, RS-485 und 4G LTE ausgestattet ist. Diese Router sind für ihre kompakte und robuste Bauweise sowie ihre vollständige Integration mit der Welotec Smart EMS und VPN Security Suite bekannt.

Read More

Schwachstelle im NPM-Paket node-ip erlaubt möglicherweise SSRF-Angriffe

Eine Sicherheitslücke im NPM-Paket node-ip für Node.js wurde entdeckt, die es ermöglicht, dass einige private IP-Adressen fälschlicherweise als öffentlich kategorisiert werden. Diese Schwachstelle, die unter CVE-2023-42282 gemeldet und nicht vollständig behoben wurde, bleibt in den Versionen bis einschließlich 2.0.1 bestehen. Die unvollständige Behebung dieser Schwachstelle führte zur neuen Kennung CVE-2024-29415.

Read More

Schwachstelle in SkyBridge Routern ermöglicht OS Command Injection

In den Routern SkyBridge MB-A100/MB-A110 und SkyBridge BASIC MB-A130 von Seiko wurde eine Schwachstelle entdeckt, die eine Betriebssystem-Befehlsinjektion (CWE-77) ermöglicht. Diese Sicherheitslücke, die unter der Kennung CVE-2024-32850 registriert ist, kann von Angreifern ausgenutzt werden, um beliebige Befehle auszuführen oder sich mit Administratorrechten am Produkt anzumelden. Die Schwachstelle erhielt die CVSS Bewertung 9.8 /10.

Read More