Mtrezzap

**Nome do software vulnerável e versões afetadas** Versões do Parse Server anteriores à 4.10.7 **Descrição** O problema é uma vulnerabilidade de execução remota de código (RCE) no Parse Server, que afeta a configuração padrão com o MongoDB. A principal falha é o código vulnerável à contaminação de protótipos no arquivo `DatabaseController.js`, o que também pode afetar o Postgres e outros back-ends de banco de dados. Esta vulnerabilidade foi confirmada no Linux (Ubuntu) e no Windows. **Recomendações** Atualize para o Parse Server >=4.10.7. Se você estiver usando uma versão pré-lançamento do Parse Server 5.0 (alfa, beta), aguarde uma correção oportuna. Como solução temporária, considere aplicar o patch no driver MongoDB Node.js e desativar a execução de código BSON adicionando o código fornecido para ser executado antes de iniciar o Parse Server. Para evitar a poluição de protótipos JavaScript, um novo recurso de segurança verifica se há palavras-chave confidenciais nos dados da solicitação, e você pode substituir as palavras-chave padrão definindo a nova opção do Parse Server `requestKeywordDenylist` como `[]` e especificando suas próprias palavras-chave conforme necessário.