Parse Server中的一个安全漏洞已修复,该漏洞可以对Node.js和Express WAF的API服务器模块上的敏感用户数据进行暴力猜测。Parse Server是一个流行的开源项目,它为iOS、macOS、Android和Apple TV操作系统tvOS提供推送通知功能。“内部字段(Parse Server在内部使用的键,前缀为_)和受保护的字段(user defined)可用作查询约束,”9月16日)发布的GitHub公告中对该漏洞的描述中写道。
“Parse Server从查询结果中删除了内部和受保护的字段,并且仅使用有效的主密钥将其返回给客户端。但是,使用查询约束,可以通过枚举来猜测这些字段,直到Parse Server返回响应对象。”
被跟踪为CVE-2022-36079的高严重性问题被GitHub分配为8.6的CVSS评级,但被美国国家标准与技术研究院(NIST)分配为7.5。攻击复杂性被认为是“低的”。
错误已在parse-server NPM 的4.10.14和5.2.5版本中进行了修补,这些发布行上的所有先前版本都受到影响。该修复要求主密钥使用内部和受保护字段作为查询约束。
对于无法立即更新系统的开发人员,也可以使用一种解决方法。“在查找之前实施Parse Cloud Trigger并手动删除查询约束,”该咨询解释道。
今年Parse Server中解决的其他重大安全漏洞包括6月披露的影响Apple Game Center的高严重性身份验证绕过,以及3月披露的原型污染、最大严重性漏洞,“可能会影响Postgres和任何其他数据库后端”。
评论已关闭。