CVE-2024-21512 — 神龙十问 AI 深度分析摘要
CVSS 8.2 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Node.js MySQL2 客户端存在**原型污染**漏洞。 📉 **后果**:攻击者可篡改对象原型,导致应用逻辑异常或拒绝服务。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-1321 (原型污染)。 📍 **缺陷点**:使用 `nestTables` 时,对**字段和表的输入净化不当**。
Q3影响谁?(版本/组件)
📦 **组件**:mysql2 (Andrey Sidorov 开发)。 📅 **版本**:**3.9.8 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
💻 **权限**:无需认证,直接通过网络攻击。 📊 **数据**:主要影响**完整性 (I:H)**,可能破坏数据或逻辑;可用性 (A:L) 轻微受损。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。 🔑 **条件**:攻击向量网络 (AV:N),攻击复杂度低 (AC:L),无需权限 (PR:N) 和用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:官方数据中 **PoCs 为空**。 🌍 **在野**:暂无明确在野利用报告,但存在相关安全公告链接。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Node.js 依赖。 📝 **特征**:`package.json` 中 mysql2 版本 **< 3.9.8** 且代码中使用了 `nestTables` 配置。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:已修复。 📌 **动作**:升级至 **3.9.8 或更高版本**,参考 GitHub PR #2702。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无法升级,**避免使用 `nestTables`** 功能,或对输入进行严格白名单过滤。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 💡 **建议**:CVSS 评分中完整性危害高 (I:H),且利用条件极低,建议**立即升级**。