CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-21507
https://notcve.org/view.php?id=CVE-2024-21507
10 Apr 2024 — Versions of the package mysql2 before 3.9.3 are vulnerable to Improper Input Validation through the keyFromFields function, resulting in cache poisoning. An attacker can inject a colon (:) character within a value of the attacker-crafted key. Las versiones del paquete mysql2 anteriores a la 3.9.3 son vulnerables a una validación de entrada incorrecta a través de la función keyFromFields, lo que provoca envenenamiento de la caché. Un atacante puede inyectar un carácter de dos puntos (:) dentro de un valor de... • https://blog.slonser.info/posts/mysql2-attacker-configuration • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-21509
https://notcve.org/view.php?id=CVE-2024-21509
10 Apr 2024 — Versions of the package mysql2 before 3.9.4 are vulnerable to Prototype Poisoning due to insecure results object creation and improper user input sanitization passed through parserFn in text_parser.js and binary_parser.js. Las versiones del paquete mysql2 anteriores a la 3.9.4 son vulnerables al envenenamiento de prototipos debido a la creación insegura de objetos de resultados y a una desinfección inadecuada de las entradas del usuario pasadas a través de parserFn en text_parser.js y binario_parser.js. • https://blog.slonser.info/posts/mysql2-attacker-configuration • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 1CVE-2015-9244
https://notcve.org/view.php?id=CVE-2015-9244
29 May 2018 — Keys of objects in mysql node module v2.0.0-alpha7 and earlier are not escaped with `mysql.escape()` which could lead to SQL Injection. Las claves de objetos en el módulo mysql node en versiones v2.0.0-alpha7 y anteriores no se escapan con "mysql.escape()", lo que podría conducir a una inyección SQL. • https://github.com/felixge/node-mysql/issues/342 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-16047
https://notcve.org/view.php?id=CVE-2017-16047
29 May 2018 — mysqljs was a malicious module published with the intent to hijack environment variables. It has been unpublished by npm. mysqljs era un módulo malicioso publicado para secuestrar variables de entorno. Ha sido retirado por npm. • https://nodesecurity.io/advisories/494 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-506: Embedded Malicious Code •