S00Py

**Nome do software vulnerável e versões afetadas** Versões do Parse Server anteriores à 4.10.14 Versões do Parse Server anteriores à 5.2.5 **Descrição** Campos internos (chaves utilizadas internamente pelo Parse Server, precedidas pelo prefixo ` `) e campos protegidos (definidos pelo usuário) podem ser utilizados como restrições de consulta. Esses campos são removidos pelo Parse Server e só são retornados ao cliente usando uma chave mestra válida. No entanto, usando restrições de consulta, esses campos podem ser adivinhados por enumeração até que o Parse Server retorne um objeto de resposta. A vulnerabilidade pode ser explorada usando o objeto `query. where` para adivinhar campos internos e protegidos. **Recomendações** Para versões anteriores à 4.10.14, atualize para a versão 4.10.14 ou posterior. Para versões anteriores à 5.2.5, atualize para a versão 5.2.5 ou posterior. Como solução alternativa temporária, implemente um Parse Cloud Trigger `beforeFind` e remova manualmente as restrições de consulta, como excluir chaves que começam com ` ` do objeto `query. where`.