Davimacedo

**Nome do software vulnerável e versões afetadas** Versões do Parse Server anteriores à 4.5.0 **Descrição** O problema envolve o armazenamento de senhas de usuários em texto simples para autenticação LDAP. Isso ocorre no Parse Server quando as senhas dos usuários não são removidas após a autenticação, levando ao armazenamento de senhas em texto simples. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para versões anteriores à 4.5.0, atualize para a versão 4.5.0 ou posterior, que corrige o problema removendo as senhas após a autenticação para impedir o armazenamento de senhas em texto simples. Como solução alternativa temporária, considere restringir o acesso à autenticação LDAP até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Parse Server versão 4.3.0 **Descrição** A falha permite que clientes com sessões expiradas continuem recebendo objetos de assinatura, pois o Parse Server transmite eventos a todos os clientes sem verificar se o token de sessão é válido. Não é possível criar objetos de assinatura com tokens de sessão inválidos. O problema decorre de dois caches existentes para o token de sessão: um no nível do Parse Server e outro no nível do Parse Live Query. A opção cacheTTL no nível do Parse Server não tem efeito sobre o Live Query Server, e a opção cacheTimeout no nível do Live Query Server também não tem efeito e, na verdade, tem como padrão 1 hora. **Recomendações** Para a versão 4.3.0 do Parse Server, a fim de resolver o problema, considere ajustar a opção cacheTTL e liveQueryServerOptions.cacheTimeout para um valor menor, como 5 segundos, para minimizar o intervalo de tempo durante o qual clientes com sessões expiradas podem receber objetos de assinatura. Além disso, certifique-se de que o Live Query Server verifique adequadamente a validade da sessão para impedir o acesso não autorizado. Como solução alternativa temporária, considere implementar um mecanismo para verificar periodicamente se a sessão existe e é válida para clientes conectados via Live Query Server.

**Nome do software vulnerável e versões afetadas** Versões do parser-server anteriores à 4.1.0 **Descrição** A vulnerabilidade permite recuperar todos os objetos de usuário utilizando expressões regulares (regex) na consulta NoSQL, visando especificamente o sessionToken. Isso pode ser feito através do endpoint da API “/parse/users/me”, utilizando uma expressão regular na variável `sessionToken`, como `‘ SessionToken’:{“$regex”:“r:027f”}`. Além disso, vulnerabilidades semelhantes existem nas funcionalidades de verificação de e-mail e solicitação de redefinição de senha, nas quais um invasor pode usar expressões regulares no parâmetro token para verificar uma conta ou redefinir uma senha, por exemplo, acessando o endpoint `http://localhost:1337/parse/apps/kickbox/verify email?token[$regex]=a& username=some@email.com` ou `http://localhost:1337/parse/apps/kickbox/request password reset?token[$regex]=a&username=some@email.com`. Esse método permite a recuperação de contas sem a interação do usuário. **Recomendações** Para versões do parser-server anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de consulta NoSQL e limitar o uso de expressões regulares na variável `sessionToken` até que um patch seja aplicado. Além disso, restrinja o acesso aos endpoints de verificação de e-mail e solicitação de redefinição de senha para minimizar o risco de exploração.