Theinfosecguy

**Nome do Software Vulnerável e Versões Afetadas** Parse Server versões anteriores a 8.6.13 Parse Server versões anteriores a 9.5.1-alpha.2 **Descrição** Um atacante não autenticado pode causar uma negação de serviço ao travar o processo do Parse Server. Isso ocorre ao chamar um endpoint de Cloud Function com um nome de propriedade do protótipo como nome da função, levando a uma recursão infinita e um erro de tamanho da pilha de chamadas. Além disso, os nomes de propriedades do protótipo ignoram a validação de despacho da Cloud Function, resultando em respostas HTTP 200 mesmo quando não há Cloud Functions correspondentes definidas. Isso também se aplica à navegação com notação de ponto. A vulnerabilidade afeta todas as implantações do Parse Server que expõem o endpoint da Cloud Function. O problema envolve os registros internos de manipuladores para Cloud Functions, Jobs, Triggers e Validators, que anteriormente permitiam a resolução de propriedades da cadeia de protótipos. **Recomendações** Versões anteriores a 8.6.13 devem ser atualizadas para a versão 8.6.13. Versões anteriores a 9.5.1-alpha.2 devem ser atualizadas para a versão 9.5.1-alpha.2. Como solução temporária, considere posicionar um proxy reverso ou um Firewall de Aplicação Web (WAF) na frente do Parse Server e bloquear solicitações com nomes de propriedades do `Object.prototype`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores à 9.5.2-alpha.8 Versões do Parse Server anteriores à 8.6.21 **Descrição** O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema em seu tratamento de consultas. Um atacante, autenticado ou não autenticado, pode potencialmente obter tokens de sessão pertencentes a outros usuários manipulando o parâmetro de consulta `redirectClassNameForKey`. A exploração bem-sucedida requer a capacidade do atacante de criar ou atualizar um objeto com um novo campo de relação, dependente das Permissões de Nível de Classe de pelo menos uma classe. Tokens de sessão comprometidos podem permitir a tomada de conta. **Recomendações** Atualize o Parse Server para a versão 9.5.2-alpha.8 ou posterior. Atualize o Parse Server para a versão 8.6.21 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 9.5.2-alpha.9 Versões do Parse Server anteriores a 8.6.22 **Descrição** O Parse Server, um backend de código aberto que pode ser implantado em infraestruturas Node.js, contém uma falha em seu adaptador de autenticação OAuth2. Quando configurado sem a opção `useridField`, o adaptador verifica a atividade do token por meio do endpoint de introspecção de token do provedor, mas não confirma a associação do token com o usuário identificado por `authData.id`. Isso permite que um atacante que possua qualquer token OAuth2 válido do mesmo provedor se autentique como qualquer outro usuário. O problema afeta implantações do Parse Server que utilizam o adaptador genérico de autenticação OAuth2 (configurado com `oauth2: true`) sem definir a opção `useridField`. **Recomendações** Atualize para a versão 9.5.2-alpha.9 do Parse Server ou posterior. Atualize para a versão 8.6.22 do Parse Server ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Parse Server anteriores a 9.5.2-alpha.12 Versões do Parse Server anteriores a 8.6.25 **Descrição** O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema onde as classes internas ` GraphQLConfig` e ` Audience` estão acessíveis, modificáveis e exclusíveis através das rotas da API REST `/classes/ GraphQLConfig` e `/classes/ Audience` sem exigir autenticação por chave mestra. Isso contorna a exigência da chave mestra presente nos endpoints de API dedicados `/graphql-config` e `/push audiences`. Um atacante poderia potencialmente ler, modificar e excluir a configuração do GraphQL e os dados de audiência de push. Os endpoints de API afetados são `/classes/ GraphQLConfig` e `/classes/ Audience`. **Recomendações** Atualize para a versão 9.5.2-alpha.12 ou posterior do Parse Server. Atualize para a versão 8.6.25 ou posterior do Parse Server.