CVSS: 8.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-21512
https://notcve.org/view.php?id=CVE-2024-21512
29 May 2024 — Versions of the package mysql2 before 3.9.8 are vulnerable to Prototype Pollution due to improper user input sanitization passed to fields and tables when using nestTables. Las versiones del paquete mysql2 anteriores a la 3.9.8 son vulnerables a la contaminación de prototipos debido a una sanitización inadecuada de las entradas del usuario pasadas a campos y tablas cuando se utilizan nestTables. • https://gist.github.com/domdomi3/e9f0f9b9b1ed6bfbbc0bea87c5ca1e4a • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-21511
https://notcve.org/view.php?id=CVE-2024-21511
23 Apr 2024 — Versions of the package mysql2 before 3.9.7 are vulnerable to Arbitrary Code Injection due to improper sanitization of the timezone parameter in the readCodeFor function by calling a native MySQL Server date/time function. Las versiones del paquete mysql2 anteriores a la 3.9.7 son vulnerables a la inyección de código arbitrario debido a una sanitización inadecuada del parámetro de zona horaria en la función readCodeFor al llamar a una función de fecha/hora nativa del servidor MySQL. • https://github.com/sidorares/node-mysql2/commit/7d4b098c7e29d5a6cb9eac2633bfcc2f0f1db713 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-21508
https://notcve.org/view.php?id=CVE-2024-21508
11 Apr 2024 — Versions of the package mysql2 before 3.9.4 are vulnerable to Remote Code Execution (RCE) via the readCodeFor function due to improper validation of the supportBigNumbers and bigNumberStrings values. Las versiones del paquete mysql2 anteriores a la 3.9.4 son vulnerables a la ejecución remota de código (RCE) a través de la función readCodeFor debido a una validación incorrecta de los valores supportBigNumbers y bigNumberStrings. • https://blog.slonser.info/posts/mysql2-attacker-configuration • CWE-94: Improper Control of Generation of Code ('Code Injection') •