Manuel Trezza

**Nome do software vulnerável e versões afetadas** Versões do Parse Server anteriores à 6.5.9 Versões do Parse Server anteriores à 7.3.0 **Descrição** O problema ocorre quando a opção do Parse Server `allowCustomObjectId: true` está definida, permitindo que um invasor crie um novo usuário com um ID de objeto personalizado que explora a vulnerabilidade e adquire privilégios de uma função específica. **Recomendações** Para versões anteriores à 6.5.9, atualize para a versão 6.5.9 ou posterior para resolver o problema. Para versões anteriores à 7.3.0, atualize para a versão 7.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar IDs de objeto personalizados definindo `allowCustomObjectId: false`. Como alternativa, use um Cloud Code Trigger para validar se o ID de objeto de um novo usuário não começa com o prefixo `role:`.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 11.0.1 **Descrição** O problema foi resolvido com controles adicionais para o usuário. Os usuários podem não conseguir remover os metadados que indicam de onde os arquivos foram baixados. **Recomendações** Para versões anteriores à 11.0.1, atualize para o macOS Big Sur 11.0.1 para resolver o problema.