Asukachloe

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.10 Versões do Parse Server anteriores a 9.5.0-alpha.11 **Descrição** O Parse Server é um backend de código aberto implantável em infraestruturas Node.js. Os adaptadores de autenticação do Google, Apple e Facebook utilizam verificação JWT para validar tokens de identidade. Quando a opção de configuração de audiência do adaptador não está definida (clientId para Google/Apple, appIds para Facebook), a verificação JWT ignora a validação da claim de audiência. Isso permite que um atacante use um JWT validamente assinado emitido para um aplicativo diferente para se autenticar como qualquer usuário no Parse Server alvo. O problema afeta o processo de autenticação ao usar os adaptadores de autenticação do Google, Apple e Facebook. O componente vulnerável depende da verificação JWT (JSON Web Token) para validação de identidade. **Recomendações** Atualize o Parse Server para a versão 8.6.10 ou posterior. Atualize o Parse Server para a versão 9.5.0-alpha.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 8.6.4 Versões do Parse Server anteriores a 9.4.1-alpha.3 **Descrição** Implantações do Parse Server que utilizam a opção `readOnlyMasterKey` estão suscetíveis a modificações não autorizadas. A `readOnlyMasterKey` destina-se a conceder acesso somente leitura, mas certos endpoints incorretamente permitem operações de mutação ao usar esta chave. Isso permite que um atacante que possui a `readOnlyMasterKey` crie, modifique e exclua Cloud Hooks e inicie Cloud Jobs, potencialmente levando à exfiltração de dados. Os endpoints vulneráveis processam incorretamente a `readOnlyMasterKey` para operações que deveriam ser restritas. A variável `readOnlyMasterKey` é usada indevidamente nas verificações de autorização. **Recomendações** Versões do Parse Server anteriores a 8.6.4 devem ser atualizadas para a versão 8.6.4 ou posterior. Versões do Parse Server anteriores a 9.4.1-alpha.3 devem ser atualizadas para a versão 9.4.1-alpha.3 ou posterior. Se a atualização não for possível imediatamente, certifique-se de que o valor da `readOnlyMasterKey` não seja compartilhado com partes não confiáveis.