Parse · Parse Server · CVE-2020-5251
**Nome do software vulnerável e versões afetadas**
Versões do parser-server anteriores à 4.1.0
**Descrição**
A vulnerabilidade permite recuperar todos os objetos de usuário utilizando expressões regulares (regex) na consulta NoSQL, visando especificamente o sessionToken. Isso pode ser feito através do endpoint da API “/parse/users/me”, utilizando uma expressão regular na variável `sessionToken`, como `‘ SessionToken’:{“$regex”:“r:027f”}`. Além disso, vulnerabilidades semelhantes existem nas funcionalidades de verificação de e-mail e solicitação de redefinição de senha, nas quais um invasor pode usar expressões regulares no parâmetro token para verificar uma conta ou redefinir uma senha, por exemplo, acessando o endpoint `http://localhost:1337/parse/apps/kickbox/verify email?token[$regex]=a& username=some@email.com` ou `http://localhost:1337/parse/apps/kickbox/request password reset?token[$regex]=a&username=some@email.com`. Esse método permite a recuperação de contas sem a interação do usuário.
**Recomendações**
Para versões do parser-server anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de consulta NoSQL e limitar o uso de expressões regulares na variável `sessionToken` até que um patch seja aplicado. Além disso, restrinja o acesso aos endpoints de verificação de e-mail e solicitação de redefinição de senha para minimizar o risco de exploração.